Teknologisk videncenter - User contributions [en]

CCDP-Campus Viborg/Opgave 7/GruppeSkrammel

2010-09-16T11:47:38Z

Pungrotten:

'''VoWLAN''' 
 
Da vi ikke har haft adgang til en tegning over de nuværende AP'ers placering, tages der forbehold for signal styrke og QoS 
på vores forslag til placering og antal af AP'er. 
De trådløse kanaler 1, 6 og 11 er valgt for at undgå interferens mellem AP'erne, og derfor forbedrer brugerens oplevelse af at benytte det trådløse netværk.

Et eksempel på hvordan 1. sal kan se ud. 
 
[[Image:Examle.jpg]]
 
Vi har valgt at benytte Ciscos AP model 1140, og har forsøgt at placere dem strategisk rigtigt for at få bedst mulig dækning imod midten af lokalerne 
/ afdelingerne i stedet for at sende signalet udenfor campus' område. 
Der er 15 AP'er pr etage, hvilket godt kan virke overdrevet, men vi ved ikke med sikkerhed hvorvidt det er for mange eller for lidt førend det er prøvekørt. 
Eventuelle AP'er der ikke er nødvendige kan fjernes i Optimize fasen. 
 
Der er taget højde for at kontormiljøerne på campus er dækket ind med 2 eller flere AP'er for at sikre QoS ved telefonsamtaler. 
Som nævnt i vores IP-plan er der et separat VLAN til IP-telefonien 
Vi har valgt at benytte Codec 723.1 over alt. Dette skyldes at kravet til netværket ikke er særlig stort, samtidig med at lydkvaliteten stadig er acceptabel. 

QoS mekanismer 
Da Campus falder ind under beskrivelsen Small-to-medium-sized business, har vi valgt at benytte Auto QoS 
Ifølge definitionen for Auto QoS: Auto QoS opretter og vedligeholder en konsistent QoS løsning for især voice applikationer. 

'''Refference''' 
 
http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps10092/datasheet_c78-502793.html 
http://www.cisco.com/en/US/tech/tk543/tk759/technologies_white_paper09186a00801348bc.shtml#wp39633 
http://www.cisco.com/en/US/products/hw/wireless/ps430/products_white_paper09186a00801d61a3.shtml 
http://en.wikipedia.org/wiki/G.723.1 
http://www.cisco.com/en/US/docs/wireless/technology/vowlan/troubleshooting/5_Troubleshooting_CAC_Rev1.2.html 
https://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps6973/ps8382/prod_qas0900aecd806b7c82_ps6973_Products_Q_and_A_Item.html

CCDP-Campus Viborg/Opgave 7/GruppeSkrammel

2010-09-16T11:06:32Z

Pungrotten:

CCDP-Campus Viborg/Opgave 7/GruppeSkrammel

2010-09-16T10:45:24Z

Pungrotten:

'''VoWLAN''' 
 
Da vi ikke har haft adgang til en tegning over de nuværende AP'ers placering, tages der forbehold for signal styrke og QoS 
på vores forslag til placering og antal af AP'er. 

Et eksempel på hvordan 1. sal kan se ud. 
 
[[Image:Examle.jpg]]
 
Vi har valgt at benytte Ciscos AP model 1140, og har forsøgt at placere dem strategisk rigtigt for at få bedst mulig dækning imod midten af lokalerne 
/ afdelingerne i stedet for at sende signalet udenfor campus' område. 
Der er 15 AP'er pr etage, hvilket godt kan virke overdrevet, men vi ved ikke med sikkerhed hvorvidt det er for mange eller for lidt førend det er prøvekørt. 
Eventuelle AP'er der ikke er nødvendige kan fjernes i Optimize fasen. 
 
Der er taget højde for at kontormiljøerne på campus er dækket ind med 2 eller flere AP'er for at sikre QoS ved telefonsamtaler. 
Som nævnt i vores IP-plan er der et separat VLAN til IP-telefonien 
Vi har valgt at benytte Codec 723.1 over alt. Dette skyldes at kravet til netværket ikke er særlig stort, samtidig med at lydkvaliteten stadig er acceptabel. 

QoS mekanismer 
Da Campus falder ind under beskrivelsen Small-to-medium-sized business, har vi valgt at benytte Auto QoS 
Ifølge definitionen for Auto QoS: Auto QoS opretter og vedligeholder en konsistent QoS løsning for især voice applikationer. 

'''Refference''' 
 
http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps10092/datasheet_c78-502793.html 
http://www.cisco.com/en/US/tech/tk543/tk759/technologies_white_paper09186a00801348bc.shtml#wp39633 
http://www.cisco.com/en/US/products/hw/wireless/ps430/products_white_paper09186a00801d61a3.shtml 
http://en.wikipedia.org/wiki/G.723.1

CCDP-Campus Viborg/Opgave 7/GruppeSkrammel

2010-09-16T10:44:04Z

Pungrotten:

'''VoWLAN''' 
 
Da vi ikke har haft adgang til en tegning over de nuværende AP'ers placering, tages der forbehold for signal styrke og QoS 
på vores forslag til placering og antal af AP'er. 

Et eksempel på hvordan 1. sal kan se ud. 
 
[[Image:Examle.jpg]]
 
Vi har valgt at benytte Ciscos AP model 1140, og har forsøgt at placere dem strategisk rigtigt for at få bedst mulig dækning imod midten af lokalerne 
/ afdelingerne i stedet for at sende signalet udenfor campus' område. 
Der er 15 AP'er pr etage, hvilket godt kan virke overdrevet, men vi ved ikke med sikkerhed hvorvidt det er for mange eller for lidt førend det er prøvekørt. 
Eventuelle AP'er der ikke er nødvendige kan fjernes i Optimize fasen. 
 
Der er taget højde for at kontormiljøerne på campus er dækket ind med 2 eller flere AP'er for at sikre QoS ved telefonsamtaler. 
Som nævnt i vores IP-plan er der et separat VLAN til IP-telefonien 
Vi har valgt at benytte Codec 723.1 over alt. Dette skyldes at kravet til netværket ikke er særlig stort, samtidig med at lydkvaliteten stadig er acceptabel. 

QoS mekanismer 
Da Campus falder ind under beskrivelsen Small-to-medium-sized business, har vi valgt at benytte Auto QoS 
Ifølge definitionen for Auto QoS: Auto QoS opretter og vedligeholder en konsistent QoS løsning for især voice applikationer. 

'''Refference''' 
 
http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps10092/datasheet_c78-502793.html 
http://www.cisco.com/en/US/tech/tk543/tk759/technologies_white_paper09186a00801348bc.shtml#wp39633 
http://www.cisco.com/en/US/products/hw/wireless/ps430/products_white_paper09186a00801d61a3.shtml

CCDP-Campus Viborg/Opgave 7/GruppeSkrammel

2010-09-16T10:43:37Z

Pungrotten:

'''VoWLAN''' 
 
Da vi ikke har haft adgang til en tegning over de nuværende AP'ers placering, tages der forbehold for signal styrke og QoS 
på vores forslag til placering og antal af AP'er. 

Et eksempel på hvordan 1. sal kan se ud. 
 
[[Image:Examle.jpg]]
 
Vi har valgt at benytte Ciscos AP model 1140, og har forsøgt at placere dem strategisk rigtigt for at få bedst mulig dækning imod midten af lokalerne 
/ afdelingerne i stedet for at sende signalet udenfor campus' område. 
Der er 15 AP'er pr etage, hvilket godt kan virke overdrevet, men vi ved ikke med sikkerhed hvorvidt det er for mange eller for lidt førend det er prøvekørt. 
Eventuelle AP'er der ikke er nødvendige kan fjernes i Optimize fasen. 
 
Der er taget højde for at kontormiljøerne på campus er dækket ind med 2 eller flere AP'er for at sikre QoS ved telefonsamtaler. 
Som nævnt i vores IP-plan er der et separat VLAN til IP-telefonien 
Vi har valgt at benytte Codec 723.1 over alt. Dette skyldes at kravet til netværket ikke er særlig stort, samtidig med at lydkvaliteten stadig er acceptabel. 

QoS mekanismer 
Da Campus falder ind under beskrivelsen Small-to-medium-sized business, har vi valgt at benytte Auto QoS 
Ifølge definitionen for Auto QoS: Auto QoS opretter og vedligeholder en konsistent QoS løsning for især voice applikationer. 

'''Refference''' 
 
http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps10092/datasheet_c78-502793.html
http://www.cisco.com/en/US/tech/tk543/tk759/technologies_white_paper09186a00801348bc.shtml#wp39633
http://www.cisco.com/en/US/products/hw/wireless/ps430/products_white_paper09186a00801d61a3.shtml

File:Examle.jpg

2010-09-16T10:28:05Z

Pungrotten:

CCDP-Campus Viborg/Opgave 7/GruppeSkrammel

2010-09-16T10:27:46Z

Pungrotten:

'''VoWLAN''' 
 
Da vi ikke har haft adgang til en tegning over de nuværende AP'ers placering, tages der forbehold for signal styrke og QoS 
på vores forslag til placering og antal af AP'er. 

Et eksempel på hvordan 1. sal kan se ud. 
 
[[Image:Examle.jpg]]
 
Vi har valgt at benytte Ciscos AP model 1140, og har forsøgt at placere dem strategisk rigtigt for at få bedst mulig dækning imod midten af lokalerne 
/ afdelingerne i stedet for at sende signalet udenfor campus' område. 
Der er 15 AP'er pr etage, hvilket godt kan virke overdrevet, men vi ved ikke med sikkerhed hvorvidt det er for mange eller for lidt førend det er prøvekørt. 
Eventuelle AP'er der ikke er nødvendige kan fjernes i Optimize fasen. 
 
Der er taget højde for at kontormiljøerne på campus er dækket ind med 2 eller flere AP'er for at sikre QoS ved telefonsamtaler. 

'''Refference''' 
 
http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps10092/datasheet_c78-502793.html

CCDP-Campus Viborg/Opgave 7/GruppeSkrammel

2010-09-16T10:25:54Z

Pungrotten:

'''VoWLAN''' 
 
Da vi ikke har haft adgang til en tegning over de nuværende AP'ers placering, tages der forbehold for signal styrke og QoS 
på vores forslag til placering og antal af AP'er. 

Et eksempel på hvordan 1. sal kan se ud. 
 
[[Image:Example.jpg]]
 
Vi har valgt at benytte Ciscos AP model 1140, og har forsøgt at placere dem strategisk rigtigt for at få bedst mulig dækning imod midten af lokalerne 
/ afdelingerne i stedet for at sende signalet udenfor campus' område. 
Der er 15 AP'er pr etage, hvilket godt kan virke overdrevet, men vi ved ikke med sikkerhed hvorvidt det er for mange eller for lidt førend det er prøvekørt. 
Eventuelle AP'er der ikke er nødvendige kan fjernes i Optimize fasen. 
 
Der er taget højde for at kontormiljøerne på campus er dækket ind med 2 eller flere AP'er for at sikre QoS ved telefonsamtaler. 

'''Refference''' 
 
http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps10092/datasheet_c78-502793.html

CCDP-Campus Viborg/Opgave 7/GruppeSkrammel

2010-09-16T10:25:08Z

Pungrotten:

'''VoWLAN''' 
 
Da vi ikke har haft adgang til en tegning over de nuværende AP'ers placering, tages der forbehold for signal styrke og QoS 
på vores forslag til placering og antal af AP'er. 

Et eksempel på hvordan 1. sal kan se ud. 
 
[[Image:Example.jpg]]
 
Vi har valgt at benytte Ciscos AP model 1140, og har forsøgt at placere dem strategisk rigtigt for at få bedst mulig dækning imod midten af lokalerne 
/ afdelingerne i stedet for at sende signalet udenfor campus' område. 
Der er 15 AP'er pr etage, hvilket godt kan virke overdrevet, men vi ved ikke med sikkerhed hvorvidt det er for mange eller for lidt førend det er prøvekørt. 
Eventuelle AP'er der ikke er nødvendige kan fjernes i Optimize fasen. 
 
Der er taget højde for at kontormiljøerne på campus er dækket ind med 2 eller flere AP'er for at sikre QoS ved telefonsamtaler.

File:Example.jpg

2010-09-16T10:08:33Z

Pungrotten:

CCDP-Campus Viborg/Opgave 7/GruppeSkrammel

2010-09-16T10:07:48Z

Pungrotten: New page: '''VoWLAN''' Da vi ikke har haft adgang til en tegning over de nuværende AP'ers placering, tages der forbehold for signal styrke og QoS på vores forslag til placering og ant...

CCDP-Campus Viborg/GruppeSkrammel

2010-09-16T10:00:47Z

Pungrotten:

[[opg 1]] 
[[opg 2]] 
[[opg 3]] 
[[opg 4]] 
[[opg 5]] 
[[opg 6]] 
[[opg 7]]

CCDP-Campus Viborg/GruppeSkrammel

2010-09-16T09:55:07Z

Pungrotten: New page: opg 1

[[opg 1]]

CCDP-Campus Viborg

2010-09-16T09:54:38Z

Pungrotten: /* Elev sider */

CCDP - Cisco Certified Design Professionel - er en Cisco certificering i avanceret kendskab og erfaring i netværks design. Som CCDP'er kan man designe Routede og Switchede netværk med LAN/WAN og eksterne opkoblinger. Anvendt i faget [[1595 Netværksdesign II]] på Mercantec.
= Description =
The CCDP certification indicates advanced knowledge of intelligent network design concepts and principles. A CCDP credentialed network professional can discuss, design, and create advanced addressing and routing, security, network management, data center, and IP multicast complex multi-layered enterprise architectures that include virtual private networking and wireless domains.

= CCDP emner =
*Baseret på bogen: ''Designing Cisco Network Services Architectures (ARCH)''
**ISBN: 9 781587 055744
**EXAM [http://www.cisco.com/web/learning/le3/current_exams/642-873.html 642-873]

== Kapitler ==
#[[Cisco SONA and the Cisco Enterprise Architecture]]
#[[Enterprise Campus Network Design]]
#[[Developing an optimum Design for Layer 3]]
#[[Advanced WAN Services Design Considerations]]
#[[Enterprise Data Center Design]]
#[[SAN Design Considerations]]*
#[[E-Commerce Module Design]](Gaaab)
#[[Security Services Design]]**
#[[IPsec and SSL VPN Design]]**
#[[IP Multicast Design]]*
#[[VoWLAN Design]]*
#[[Network Management capabilities within Cisco IOS Software]]

= Opgave =
At opbygge netværket på det nye [[Campus Viborg|Campus Viborg]] og sammenkoble det med Holstebro, Horsens, Randers, Silkeborg og Århus. Undervisere og personale skal kunne forbinde hjemmefra, og alle campus'er er forbundet til hinanden via MPLS. Ud over forbindelsen til de andre campus'er skal Campus Viborg også supportere 5 små filialer i Viborg omegn. Extranet til samarbejdspartnere. Fx. Mercantec
== Fakta - Campus Viborg ==
*10.000 m2 byggeri
*200 ansatte
*1.500 studerende om året (STÅ)
*5 satellit filialer

==Opgaver==
*[[CCDP-Campus_Viborg/Opgave 1|Opgave 1]]
*[[CCDP-Campus_Viborg/Opgave 2|Opgave 2]]
*[[CCDP-Campus_Viborg/Opgave 3|Opgave 3]]
*[[CCDP-Campus_Viborg/Opgave 4|Opgave 4]](Frivillig)
*[[CCDP-Campus_Viborg/Opgave 5|Opgave 5]]
*[[CCDP-Campus_Viborg/Opgave 6|Opgave 6]]

= Mercantec uddannelser =
*[[1595 Netværksdesign II]] version 7
== Pædagogiske overvejelser til forløbet ==
*Der skal laves daglige mål for undervisning.
*Projektorienteret undervisning som følger et projekt som fx. Campus Viborg
*To daglige undervisningsseancer - Tidlig formiddag og tidlig eftermiddag.
*Daglige som tests

= Links =
*[http://www.cisco.com/web/learning/le3/le2/le37/le5/learning_certification_type_home.html Cisco CCDP Certification]
*[http://www.cisco.com/en/US/docs/solutions/Enterprise/Campus/HA_campus_DG/hacampusdg.html Cisco Campus Network for High Availability Design Guide]
**Lokal kopi som PDF [[Media:Campus Network for High Availability Design Guide.pdf|Cisco Campus Network for High Availability Design Guide]]
[[Category:Network]][[Category:Cisco]][[Category:CCDP]]

= Elev sider =
*[[CCDP-Campus Viborg/Gruppe1337|Gruppe 1337]]
*[[CCDP-Campus Viborg/GruppeSkrammel|GruppeSkrammel]]

CCDP-Campus Viborg/Opgave 2/GruppeSkrammel

2010-09-16T09:46:52Z

Pungrotten:

'''Distribution:'''

HSRP, UDLD
Call Manager

Access List

IDS/IPS
Intrusion Detection and Prevention System

Wireless Controller (min 2 enheder for redundans)

NAC (min 2 enheder for redundans)
Network Admission Control - Cisco's svar på Network Access Control

'''Access:'''

STP – kun Portfast med BPDU guard

PoE (IP-telefoner og AP'er)

'''Elementer i netværket'''

*IEEE 802.1Q (Trunks)

I dette netværk er der valgt 802.1Q som encapsulation for at højne sikkerheden på uplinks.

*BGP er den valgte rutningsprotokol

Vi har gjort os overvejelser omkring hvilke routing protokoller der er lettest at vedligeholde, kontra protokollens evne til at konvergere, samt mulighed for CIDR og VLSM. Da kunden efterspørger et netværk baseret på BGP, vælger vi at benytte os denne protokol, selvom vi hellere ville have brugt IS-IS.

'''Fordele og ulemper ved BGP''' 
''Fordele:'' 
BGP er egnet til at køre komplekse apllikationer med mange "stier" / ruter igang på samme tid. 
Ved manuel konfiguration kan man ved hjælp af protokollens politiker beskytte brugeren for miskonfigurationer og fejl fra udbyderens side. 
Med et solidt subnet design, er behovet for at ændre BGP netværksopsætningen på sigt unødvendig. 
 
''Ulemper'' 
BGP er ikke helt enkel at konfigurere, enkelte opsætninger skal koordineres med ISP'en. 
Konfiguration af politikker kan tage en væsentlig tid til opsæætning af hver router, og jo flere politikker der er des mere skal der konfigureres. 

*Netværksovervågning med SNMPv2 traps for monitorering i read-only mode

For at kunne vedligeholde netværket proaktivt frem for reaktivt, så er det nødvendigt med en netværksovervågningsløsning. SNMPv2 eksisterer på det meste udstyr som standard. Version 1 og 2 har den svaghed, at community strings sendes i klar tekst, men da kun read-only mode konfigureres, så vil en eventuel spoofer kun kunne se konfigurationer, men ikke ændre dem.

*QoS
Kritisk netværkstrafik garanteres.

*Firewall inkl. NAT/PAT
En fysisk stateful firewall sikrer netværket imod uvedkommende adgang til netværket. På en firewall placeret mod WAN/ISP vil kun netværksforbindelser indefra godkendes, med mindre andet er konfigureret. NAT (Network Address Translation) gør det muligt at oversætte private IP-adresser til offentlige. PAT (Port Address Translation) er en udvidelse af NAT og har det formål at oversætte egress porten til en ande ingress port.

*Proxy server - Web Security Gateway Software (Port 80 lukkes!)
Vi har valgt en proxy server løsning med WebSense. Denne løsning bidrager med håndtering af policy baseret web trafik. Port 80 lukkes med henblik på at netværkstrafik dirigeres uden om proxy serveren. Case studies viser, at man skal overveje hvilke emner, termer og ord man bandlyser med omhu, da lødig søgning på internettet indeholdende disse bliver blokeret. Et eksempel kunne være ordet ''sex'', som af nogle brugere søges på uden arbejdsmæssig relevans, mens seksual- eller sygeplejeunderviseren ikke vil kunne finde materiale i en faglig kontekst med dette ord.

*Network Backup Tool i form af eksempelvis CatTool
En backupløsning vedrørende netværkskonfigurationer er særligt vigtig i tilfælde af utilsigtet konfigurationsændring, således at konfigurationer kan genskabes via en telnet session med CatTools. Desuden kan CatTool benyttes til skemalagte og andre koordinerede netværksændringer.

*UPS
Et nødstrømsanlæg sikrer mod evt. strømafbrydelse. Størrelsen på UPS'en afhænger af de garantier der stilles i SLA'en. Et køleanlæg samt nødkøleanlæg tilkobles UPS'en. Nødstrømsanlæg og køling kontrolleres halvårligt, således at dieselolie på nødstrøm skiftes og motorer efterses. Hovedstrøm og køleanlæg tilsluttes egne grupper i hovedstrømsrelæ, således at køleanlægget ikke afbrydes hvis hovedstrømmen afbrydes og vice versa.

*Triangulær redundans hvor det er muligt på alle lag, bortset fra egress ISP

CCDP-Campus Viborg/Opgave 3/GruppeSkrammel

2010-09-16T09:44:46Z

Pungrotten:

Kælder, afdel. X 10.1.0.0/24 (Plantegning ikke modtaget)

Stue, afdel. X 10.2. 0.0/24

Stue, afdel. A 10.2.16.0/24

Stue, afdel. B 10.2.32.0/24

Stue, afdel. C 10.2.48.0/24

Stue, afdel. D 10.2.64.0/24

Stue, afdel. E 10.2.80.0/24

Stue, afdel. F 10.2.96.0/24

Stue, afdel. G 10.2.112.0/24

Første sal, afdel. X 10.3.0.0/24

Første Sal, afdel. A 10.3.16.0/24

Første Sal, afdel. B 10.3.32.0/24

Første Sal, afdel. C 10.3.48.0/24

Første Sal, afdel. D 10.3.64.0/24

Første Sal, afdel. E 10.3.80.0/24

Første Sal, afdel. F 10.3.96.0/24

Første Sal, afdel. G 10.3.112.0/24

Anden sal, afdel. X 10.4.0.0/24

Anden Sal, afdel. A 10.4.16.0/24

Anden Sal, afdel. B 10.4.32.0/24

Anden Sal, afdel. C 10.4.48.0/24

Anden Sal, afdel. D 10.4.64.0/24

Anden Sal, afdel. E 10.4.80.0/24

Anden Sal, afdel. F 10.4.96.0/24

Anden Sal, afdel. G 10.4.112.0/24

---

Anden oktet beskriver hvilken skolefilial subnettet tilhører.

10. 1.0.0 – 10.15.0.0 VIA Viborg

10.16.0.0 – 10.31.0.0 VIA Århus C

10.32.0.0 – 10.47.0.0 VIA Århus Nord

10.48.0.0 – 10.63.0.0 VIA Holstebro

10.64.0.0 – 10.79.0.0 VIA Silkeborg

10.80.0.0 – 10.95.0.0 VIA Randers

10.96.0.0 – 10.111.0.0 VIA Horsens

Tredje oktet beskriver hvilken distributions switch subnettet tilhører samt hvilket VLAN subnettet tilhører. I dette tilfælde gælder at det første VLAN (ADM) er tilknyttet 10.x.0.x. Dermed benytter vi os af subnet-zero.

10.x.0000 | 0000.x ----- ADM (Fordeles på dette og nedenstående VLANs efter behov)

10.x.0000 | 0001.x ----- IT (Administrativt net forbeholdt IT-afdelingen)

10.x.0000 | 0010.x ----- TEKNIK (Varmestyring, alarmer, ventilation, etc.)

10.x.0000 | 0011.x ----- ADSL (Forbindelse forbeholdt IT-afdelingen til test)

10.x.0000 | 0100.x ----- ATM (Dankort automat)

10.x.0000 | 0101.x ----- GUEST

10.x.0000 | 0110.x

10.x.0000 | 0111.x

10.x.0000 | 1000.x

10.x.0000 | 1001.x

10.x.0000 | 1010.x ----- ELEV

10.x.0000 | 1011.x

10.x.0000 | 1100.x

10.x.0000 | 1101.x ----- IPT

10.x.0000 | 1110.x

10.x.0000 | 1111.x ----- WLAN

Eksempler på config: 

'''Router Kælder AS 65000''' 
enable 
config t 
hostname KL-X1-01 

interface fastethernet 0/0 
ip-address 10.1.0.2 255.255.255.0 
router bgp 65000 

neighbor 10.2.16.3 remote-as 65010 (eBGP) 
neighbor 10.1.0.3 remote-as 65000 (iBGP) 

'''Router1 Stueplan AS 65010''' 
enable 
config t 
hostname ST-X1-01 

interface fastethernet 0/0 
ip-address 10.2.16.2 255.255.255.0 
no shutdown 

interface fastethernet 0/1 
ip-address 10.1.0.3 255.255.255.0 
no shutdown 

interface fastethernet 0/2 
description <ST-X1 mod K-X1> 
ip-address 10.2.16.3 255.255.255.0 
neighbor 10.1.0.2 remote-as 65000 
no shutdown 

router bgp 65010 
neighbor 10.1.0.2 255.255.255.0 remote-as 65000 
neighbor 10.1.0.3 255.255.255.0 remote-as 65000 
neighbor 10.2.16.4 255.255.255.0 remote-as 65010 
write memory 

'''Router2 Stueplan AS 65010''' 
enable 
config t 
hostname ST-X1-02 

interface fastethernet 0/0 
ip-address 10.2.16.3 255.255.255.0 
no shutdown 

interface fastethernet 0/1 
ip-address 10.1.0.4 255.255.255.0 
no shutdown 
router bgp 65010 

neighbor 10.1.0.2 255.255.255.0 remote-as 65000 (eBGP) 
neighbor 10.1.0.3 255.255.255.0 remote-as 65000 (eBGP) 
neighbor 10.2.16.2 255.255.255.0 remote-as 65010 (iBGP) 

'''Oversigt over AS:''' 

neighbor 10.2.32.1 255.255.255.0 remote-as 65011 
neighbor 10.2.64.1 255.255.255.0 remote-as 65013 
neighbor 10.2.80.1 255.255.255.0 remote-as 65015 
neighbor 10.2.96.1 255.255.255.0 remote-as 65014 
neighbor 10.2.48.1 255.255.255.0 remote-as 65012 
neighbor 10.2.112.1 255.255.255.0 remote-as 65016 
neighbor 10.1.0.2 255.255.255.0 remote-as 65000 

'''Tuning af BGP''' 
En måde at tune bgp på:
forhøje BGP update generation
Ved at gruppere BGP naboer med de samme udgående politikker, såkaldte ''peer groups'' 
sætte fart på BGP update propagation: 
''internal neighbors advertisement-interval 1 second'' (normalt 5 sekunder) 
''external neigbors advertisement-interval 5 seconds'' (normalt 30 sekunder) 

reference: 
http://www.informit.com/library/content.aspx?b=CCIE_Practical_Studies_II&seqNum=108

[[Image:Stuen.jpg]] 

Oversigt over AS: 
[[Image:AS-stue.jpg]]

[[Image:x-felt oversigt.jpg]]
[[Image:x-felt beskrivelse.jpg]]

CCDP-Campus Viborg/Opgave 3/GruppeSkrammel

2010-09-16T09:15:37Z

Pungrotten:

Kælder, afdel. X 10.1.0.0/24 (Plantegning ikke modtaget)

Stue, afdel. X 10.2. 0.0/24

Stue, afdel. A 10.2.16.0/24

Stue, afdel. B 10.2.32.0/24

Stue, afdel. C 10.2.48.0/24

Stue, afdel. D 10.2.64.0/24

Stue, afdel. E 10.2.80.0/24

Stue, afdel. F 10.2.96.0/24

Stue, afdel. G 10.2.112.0/24

Første sal, afdel. X 10.3.0.0/24

Første Sal, afdel. A 10.3.16.0/24

Første Sal, afdel. B 10.3.32.0/24

Første Sal, afdel. C 10.3.48.0/24

Første Sal, afdel. D 10.3.64.0/24

Første Sal, afdel. E 10.3.80.0/24

Første Sal, afdel. F 10.3.96.0/24

Første Sal, afdel. G 10.3.112.0/24

Anden sal, afdel. X 10.4.0.0/24

Anden Sal, afdel. A 10.4.16.0/24

Anden Sal, afdel. B 10.4.32.0/24

Anden Sal, afdel. C 10.4.48.0/24

Anden Sal, afdel. D 10.4.64.0/24

Anden Sal, afdel. E 10.4.80.0/24

Anden Sal, afdel. F 10.4.96.0/24

Anden Sal, afdel. G 10.4.112.0/24

---

Anden oktet beskriver hvilken skolefilial subnettet tilhører.

10. 1.0.0 – 10.15.0.0 VIA Viborg

10.16.0.0 – 10.31.0.0 VIA Århus C

10.32.0.0 – 10.47.0.0 VIA Århus Nord

10.48.0.0 – 10.63.0.0 VIA Holstebro

10.64.0.0 – 10.79.0.0 VIA Silkeborg

10.80.0.0 – 10.95.0.0 VIA Randers

10.96.0.0 – 10.111.0.0 VIA Horsens

Tredje oktet beskriver hvilken distributions switch subnettet tilhører samt hvilket VLAN subnettet tilhører. I dette tilfælde gælder at det første VLAN (ADM) er tilknyttet 10.x.0.x. Dermed benytter vi os af subnet-zero.

10.x.0000 | 0000.x ----- ADM (Fordeles på dette og nedenstående VLANs efter behov)

10.x.0000 | 0001.x ----- IT (Administrativt net forbeholdt IT-afdelingen)

10.x.0000 | 0010.x ----- TEKNIK (Varmestyring, alarmer, ventilation, etc.)

10.x.0000 | 0011.x ----- ADSL (Forbindelse forbeholdt IT-afdelingen til test)

10.x.0000 | 0100.x ----- ATM (Dankort automat)

10.x.0000 | 0101.x ----- GUEST

10.x.0000 | 0110.x

10.x.0000 | 0111.x

10.x.0000 | 1000.x

10.x.0000 | 1001.x

10.x.0000 | 1010.x ----- ELEV

10.x.0000 | 1011.x

10.x.0000 | 1100.x

10.x.0000 | 1101.x ----- IPT

10.x.0000 | 1110.x

10.x.0000 | 1111.x ----- WLAN

Eksempler på config: 

'''Router Kælder AS 65000''' 
enable 
config t 
hostname KL-X1-01 

interface fastethernet 0/0 
ip-address 10.1.0.2 255.255.255.0 
router bgp 65000 

neighbor 10.2.16.3 remote-as 65010 (eBGP) 
neighbor 10.1.0.3 remote-as 65000 (iBGP) 

'''Router1 Stueplan AS 65010''' 
enable 
config t 
hostname ST-X1-01 

interface fastethernet 0/0 
ip-address 10.2.16.2 255.255.255.0 
no shutdown 

interface fastethernet 0/1 
ip-address 10.1.0.3 255.255.255.0 
no shutdown 

interface fastethernet 0/2 
description <ST-X1 mod K-X1> 
ip-address 10.2.16.3 255.255.255.0 
neighbor 10.1.0.2 remote-as 65000 
no shutdown 

router bgp 65010 
neighbor 10.1.0.2 255.255.255.0 remote-as 65000 
neighbor 10.1.0.3 255.255.255.0 remote-as 65000 
neighbor 10.2.16.4 255.255.255.0 remote-as 65010 
write memory 

'''Router2 Stueplan AS 65010''' 
enable 
config t 
hostname ST-X1-02 

interface fastethernet 0/0 
ip-address 10.2.16.3 255.255.255.0 
no shutdown 

interface fastethernet 0/1 
ip-address 10.1.0.4 255.255.255.0 
no shutdown 
router bgp 65010 

neighbor 10.1.0.2 255.255.255.0 remote-as 65000 (eBGP) 
neighbor 10.1.0.3 255.255.255.0 remote-as 65000 (eBGP) 
neighbor 10.2.16.2 255.255.255.0 remote-as 65010 (iBGP) 

'''Oversigt over AS:''' 

neighbor 10.2.32.1 255.255.255.0 remote-as 65011 
neighbor 10.2.64.1 255.255.255.0 remote-as 65013 
neighbor 10.2.80.1 255.255.255.0 remote-as 65015 
neighbor 10.2.96.1 255.255.255.0 remote-as 65014 
neighbor 10.2.48.1 255.255.255.0 remote-as 65012 
neighbor 10.2.112.1 255.255.255.0 remote-as 65016 
neighbor 10.1.0.2 255.255.255.0 remote-as 65000 

'''Tuning af BGP''' 
En måde at tune bgp på:
forhøje BGP update generation
Ved at gruppere BGP naboer med de samme udgående politikker, såkaldte ''peer groups''
sætte fart på BGP update propagation:
''internal neighbors advertisement-interval 1 second'' (normalt 5 sekunder) 
''external neigbors advertisement-interval 5 seconds'' (normalt 30 sekunder) 

reference: 
http://www.informit.com/library/content.aspx?b=CCIE_Practical_Studies_II&seqNum=108

[[Image:Stuen.jpg]] 

Oversigt over AS: 
[[Image:AS-stue.jpg]]

[[Image:x-felt oversigt.jpg]]
[[Image:x-felt beskrivelse.jpg]]

CCDP-Campus Viborg/Opgave 2/GruppeSkrammel

2010-09-16T08:48:27Z

Pungrotten:

'''Distribution:'''

HSRP, UDLD
Call Manager

Access List

IDS/IPS
Intrusion Detection and Prevention System

Wireless Controller (min 2 enheder for redundans)

NAC (min 2 enheder for redundans)
Network Admission Control - Cisco's svar på Network Access Control

'''Access:'''

STP – kun Portfast med BPDU guard

PoE (IP-telefoner og AP'er)

'''Elementer i netværket'''

*IEEE 802.1Q (Trunks)

I dette netværk er der valgt 802.1Q som encapsulation for at højne sikkerheden på uplinks.

*BGP er den valgte rutningsprotokol

Vi har gjort os overvejelser omkring hvilke routing protokoller der er lettest at vedligeholde, kontra protokollens evne til at konvergere, samt mulighed for CIDR og VLSM. Da kunden efterspørger et netværk baseret på BGP, vælger vi at benytte os denne protokol, selvom vi hellere ville have brugt IS-IS.

'''Fordele og ulemper ved BGP''' 
''Fordele:'' 
BGP er egnet til at køre komplekse apllikationer med mange "stier" / ruter igang på samme tid. 
Ved manuel konfiguration kan man ved hjælp af protokollens politiker beskytte brugeren for miskonfigurationer og fejl fra udbyderens side. 
Med et solidt subnet design, er behovet for at ændre BGP netværksopsætningen på sigt unødvendig. 
 
''Ulemper'' 
BGP er ikke helt enkel at konfigurere, enkelte opsætninger skal koordineres med ISP'en
Konfiguration af politikker kan tage en væsentlig tid til opsæætning af hver router, og jo flere politikker der er des mere skal der konfigureres. 

*Netværksovervågning med SNMPv2 traps for monitorering i read-only mode

For at kunne vedligeholde netværket proaktivt frem for reaktivt, så er det nødvendigt med en netværksovervågningsløsning. SNMPv2 eksisterer på det meste udstyr som standard. Version 1 og 2 har den svaghed, at community strings sendes i klar tekst, men da kun read-only mode konfigureres, så vil en eventuel spoofer kun kunne se konfigurationer, men ikke ændre dem.

*QoS
Kritisk netværkstrafik garanteres.

*Firewall inkl. NAT/PAT
En fysisk stateful firewall sikrer netværket imod uvedkommende adgang til netværket. På en firewall placeret mod WAN/ISP vil kun netværksforbindelser indefra godkendes, med mindre andet er konfigureret. NAT (Network Address Translation) gør det muligt at oversætte private IP-adresser til offentlige. PAT (Port Address Translation) er en udvidelse af NAT og har det formål at oversætte egress porten til en ande ingress port.

*Proxy server - Web Security Gateway Software (Port 80 lukkes!)
Vi har valgt en proxy server løsning med WebSense. Denne løsning bidrager med håndtering af policy baseret web trafik. Port 80 lukkes med henblik på at netværkstrafik dirigeres uden om proxy serveren. Case studies viser, at man skal overveje hvilke emner, termer og ord man bandlyser med omhu, da lødig søgning på internettet indeholdende disse bliver blokeret. Et eksempel kunne være ordet ''sex'', som af nogle brugere søges på uden arbejdsmæssig relevans, mens seksual- eller sygeplejeunderviseren ikke vil kunne finde materiale i en faglig kontekst med dette ord.

*Network Backup Tool i form af eksempelvis CatTool
En backupløsning vedrørende netværkskonfigurationer er særligt vigtig i tilfælde af utilsigtet konfigurationsændring, således at konfigurationer kan genskabes via en telnet session med CatTools. Desuden kan CatTool benyttes til skemalagte og andre koordinerede netværksændringer.

*UPS
Et nødstrømsanlæg sikrer mod evt. strømafbrydelse. Størrelsen på UPS'en afhænger af de garantier der stilles i SLA'en. Et køleanlæg samt nødkøleanlæg tilkobles UPS'en. Nødstrømsanlæg og køling kontrolleres halvårligt, således at dieselolie på nødstrøm skiftes og motorer efterses. Hovedstrøm og køleanlæg tilsluttes egne grupper i hovedstrømsrelæ, således at køleanlægget ikke afbrydes hvis hovedstrømmen afbrydes og vice versa.

*Triangulær redundans hvor det er muligt på alle lag, bortset fra egress ISP

CCDP-Campus Viborg/Opgave 6/GruppeSkrammel

2010-09-16T07:14:04Z

Pungrotten:

SAN Opsætning. 
 
For at løse problemet med backupløsningen til Århus, Er vi gået ud fra et Medium-scale, Dual-Fabric, Collapsed-Core design. 
Sørge for at designet er fremtidssikret,dvs sørge for at der er nok antal porte, forbindelsen(hastighed) skal være i orden. 
I forhold til valget af det bedst egnede SAN design, er spørgsmålet om antallet af porte det vigtigste hensyn at tage. 
Fordelen ved et small/medium/large scale, Dual-Fabric Core-Edge design er at udgifter til udstyr mindskes, da man ellers ville have været nødt til at købe x antal switches for tilknytning til core enheden. 
Der går en Data replikations forbindelse til en båndstation Campus i Viborg, via WAN. 
Vi har valgt at placere SAN samt backup i kælderniveau i bygningen. 

henvisning til opg 3

 
 
[[Image:quack.jpg]]

'''Referencer''' 
http://www.cisco.com/en/US/prod/collateral/modules/ps5991/prod_white_paper0900aecd8044c807_ps5990_Products_White_Paper.html 
http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps6021/white_paper_c11-540141.html 
http://www.cisco.com/en/US/prod/collateral/ps4159/ps6409/ps5990/white_paper_C11-515630.html 
http://www.cisco.com/en/US/prod/collateral/modules/ps5991/prod_white_paper0900aecd8044c807_ps5990_Products_White_Paper.html 
http://www.cisco.com/en/US/products/ps10281/products_configuration_example09186a0080af4119.shtml 
http://en.wikipedia.org/wiki/Storage_area_network 
http://en.wikipedia.org/wiki/Direct-attached_storage

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-16T06:57:15Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''
 
ASA er droppet for at mindske indkøb af nyt udstyr 

Firewall mod ISP

Med et FWSM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans
for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme. 
Vi implementerer NAC i vores core, og sikrer os at alle administrative porte og porte på elevnettet bliver overvåget. 
Når brugeren får vist login-siden og logger på bliver computeren først kontrolleret om den opnår de krav der er stillet, dvs.er de seneste antivirus definitioner, opdateringer og servicepacks installeret. I dette tilfældet bliver brugeren logget på med de angivne rettigheder.
Er computeren ikke opdateret bliver den sat i karantæne indtil softwaren er opdateret. 
Dette kan evt foregå i karantæne stadiet for eksempel via en Wsus server. 
Ved hjælp af NAC Applience
Et IDS system sørger for at holde øje med at netværket ikke bliver misbrugt til ulovlig trafik, 
samt til at forhindre at vira skal sprede sig.

'''Referencer'''

http://www.cisco.com/en/US/tech/tk869/tk769/technologies_white_paper09186a008014f945.shtml 
http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps4452/product_data_sheet0900aecd803e69c3.html 
http://www.cisco.com/en/US/products/hw/modules/ps2706/ps4452/index.html 
http://www.cisco.com/en/US/products/ps8788/index.html 
http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps4452/product_data_sheet0900aecd803e69c3.html 

 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2n.jpg]]
 
 

'''FWSM:'''
 
[[Image:FWSM.jpg]]

File:Quack.jpg

2010-09-16T05:58:25Z

Pungrotten: uploaded a new version of "Image:Quack.jpg"

File:Quack.jpg

2010-09-16T05:54:37Z

Pungrotten:

CCDP-Campus Viborg/Opgave 6/GruppeSkrammel

2010-09-15T14:08:48Z

Pungrotten:

SAN Opsætning. 
'''Kladde''' 
For at løse problemet med backupløsningen til Århus, Er vi gået ud fra et Medium-scale, Dual-Fabric, Collapsed-Core design. 
Designet
Sørge for at designet er fremtidssikret, nok antal porte, forbindelsen(hastighed) skal være i orden

henvisning til opg 3

/*Der går en Data replikations forbindelse til en båndstation Campus i Viborg, via WAN. 
Da Campus Århus har 400 servere er det denne SAN model der er designet best til at håndtere det antal servere.*/
Vi har valgt at placere SAN samt backup i kælderniveau i bygningen.

 
 
[[Image:quack.jpg]]

CCDP-Campus Viborg/Opgave 6/GruppeSkrammel

2010-09-15T12:14:04Z

Pungrotten:

SAN Opsætning. 
'''Kladde''' 
For at løse problemet med backupløsningen til Århus, Er vi gået ud fra et Medium-scale, Dual-Fabric, Collapsed-Core design. 
Designet
Sørge for at designet er fremtidssikret, nok antal porte, forbindelsen(hastighed) skal være i orden

/*Der går en Data replikations forbindelse til en båndstation Campus i Viborg, via WAN. 
Da Campus Århus har 400 servere er det denne SAN model der er designet best til at håndtere det antal servere.*/
Vi har valgt at placere SAN samt backup i kælderniveau i bygningen.

CCDP-Campus Viborg/Opgave 6/GruppeSkrammel

2010-09-15T12:13:50Z

Pungrotten:

SAN Opsætning. 
'''Kladde'''
For at løse problemet med backupløsningen til Århus, Er vi gået ud fra et Medium-scale, Dual-Fabric, Collapsed-Core design. 
Designet
Sørge for at designet er fremtidssikret, nok antal porte, forbindelsen(hastighed) skal være i orden

/*Der går en Data replikations forbindelse til en båndstation Campus i Viborg, via WAN. 
Da Campus Århus har 400 servere er det denne SAN model der er designet best til at håndtere det antal servere.*/
Vi har valgt at placere SAN samt backup i kælderniveau i bygningen.

CCDP-Campus Viborg/Opgave 6/GruppeSkrammel

2010-09-15T12:13:35Z

Pungrotten:

SAN Opsætning.
'''Kladde'''
For at løse problemet med backupløsningen til Århus, Er vi gået ud fra et Medium-scale, Dual-Fabric, Collapsed-Core design. 
Designet
Sørge for at designet er fremtidssikret, nok antal porte, forbindelsen(hastighed) skal være i orden

/*Der går en Data replikations forbindelse til en båndstation Campus i Viborg, via WAN. 
Da Campus Århus har 400 servere er det denne SAN model der er designet best til at håndtere det antal servere.*/
Vi har valgt at placere SAN samt backup i kælderniveau i bygningen.

CCDP-Campus Viborg/Opgave 6/GruppeSkrammel

2010-09-15T12:13:19Z

Pungrotten:

CCDP-Campus Viborg/Opgave 6/GruppeSkrammel

2010-09-15T12:07:45Z

Pungrotten:

SAN Opsætning.

For at løse problemet med backupløsningen til Århus, Er vi gået ud fra et Medium-scale, Dual-Fabric, Collapsed-Core design. 
Designet
Sørge for at designet er fremtidssikret, nok antal porte, forbindelsen(hastighed) skal være i orden

/*Der går en Data replikations forbindelse til en båndstation Campus i Viborg, via WAN. 
Da Campus Århus har 400 servere er det denne SAN model der er designet best til at håndtere det antal servere.*/

CCDP-Campus Viborg/Opgave 6/GruppeSkrammel

2010-09-15T11:30:50Z

Pungrotten:

SAN Opsætning.

For at løse problemet med backupløsningen til Århus, Er vi gået udfra Medium-scale, Dual-Fabric, Collapsed-Core design.
Der går en Data replikations forbindelse til en båndstation Campus i Viborg, via WAN.
Da Campus Århus har 400 servere er det denne SAN model der er designet best til at håndtere det antal servere.

File:Design2n.jpg

2010-09-15T11:22:44Z

Pungrotten:

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-15T11:22:23Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''
 
ASA er droppet for at mindske indkøb af nyt udstyr 

Firewall mod ISP

Med et FWSM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans
for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme. 
Vi implementerer NAC i vores core, og sikrer os at alle administrative porte og porte på elevnettet bliver overvåget. 
Når brugeren får vist login-siden og logger på bliver computeren først kontrolleret om den opnår de krav der er stillet, dvs.er de seneste antivirus definitioner, opdateringer og servicepacks installeret. I dette tilfældet bliver brugeren logget på med de angivne rettigheder.
Er computeren ikke opdateret bliver den sat i karantæne indtil softwaren er opdateret. 
Dette kan evt foregå i karantæne stadiet for eksempel via en Wsus server. 
Ved hjælp af NAC Applience
Et IDS system sørger for at holde øje med at netværket ikke bliver misbrugt til ulovlig trafik, 
samt til at forhindre at vira skal sprede sig.

 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2n.jpg]]
 
 

'''FWSM:'''
 
[[Image:FWSM.jpg]]

CCDP-Campus Viborg/Opgave 6/GruppeSkrammel

2010-09-15T11:08:06Z

Pungrotten: New page: For at løse problemet med backupløsningen til Århus, Er vi gået udfra Medium-scale, Dual-Fabric, Collapsed-Core design. Der går en Data replikations forbindelse til Campus i Viborg, v...

For at løse problemet med backupløsningen til Århus, Er vi gået udfra Medium-scale, Dual-Fabric, Collapsed-Core design.
Der går en Data replikations forbindelse til Campus i Viborg, via WAN.

File:Design2a.jpg

2010-09-15T11:00:08Z

Pungrotten: uploaded a new version of "Image:Design2a.jpg"

File:Design2a.jpg

2010-09-15T10:58:56Z

Pungrotten:

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-15T10:58:01Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''
 
ASA er droppet for at mindske indkøb af nyt udstyr 

Firewall mod ISP

Med et FWSM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans
for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme. 
Vi implementerer NAC i vores core, og sikrer os at alle administrative porte og porte på elevnettet bliver overvåget. 
Når brugeren får vist login-siden og logger på bliver computeren først kontrolleret om den opnår de krav der er stillet, dvs.er de seneste antivirus definitioner, opdateringer og servicepacks installeret. I dette tilfældet bliver brugeren logget på med de angivne rettigheder.
Er computeren ikke opdateret bliver den sat i karantæne indtil softwaren er opdateret. 
Dette kan evt foregå i karantæne stadiet for eksempel via en Wsus server. 
Ved hjælp af NAC Applience
Et IDS system sørger for at holde øje med at netværket ikke bliver misbrugt til ulovlig trafik, 
samt til at forhindre at vira skal sprede sig.

 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2a.jpg]]
 
 

'''FWSM:'''
 
[[Image:FWSM.jpg]]

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-15T06:08:17Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Implementering af AAA Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''
 
ASA er droppet for at mindske indkøb af nyt udstyr 

Firewall mod ISP

Med et FSWM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans
for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme. 
Vi implementerer NAC i vores core, og sikrer os at alle administrative porte og porte på elevnettet bliver overvåget. 
Når brugeren får vist loginsiden og logger på bliver computeren først kontrolleret om den opnår de krav der er stillet, dvs.er de seneste antivirus definitioner, opdateringer og servicepacks installeret. Er dette tilfældet bliver brugeren logget på med de angivne rettigheder.
Er computeren ikke opdateret bliver den sat i karantæne indtil softwaren er opdateret. 
Dette kan evt foregå i karantæne stadiet for eksempel via en Wsus server. 
Ved hjælp af NAC Applience
Et IDS system sørger for at holde øje med at netværket ikke bliver misbrugt til ulovlig trafik, 
samt til at forhindre at vira skal sprede sig.

 
 '''Cisco IOS Firewall:'''

ip inspect name ethernetin cuseeme timeout 3600 ip inspect name ethernetin ftp timeout 3600 ip inspect name ethernetin h323 timeout 3600 ip inspect name ethernetin http timeout 3600 ip inspect name ethernetin rcmd timeout 3600 ip inspect name ethernetin realaudio timeout 3600 ip inspect name ethernetin smtp timeout 3600 ip inspect name ethernetin sqlnet timeout 3600 ip inspect name ethernetin streamworks timeout 3600 ip inspect name ethernetin tcp timeout 3600 ip inspect name ethernetin tftp timeout 30 ip inspect name ethernetin udp timeout 15 ip inspect name ethernetin vdolive timeout 3600 ip audit notify log ip audit po max-events 100 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2.jpg]]
 
 

'''FWSM:'''
 
[[Image:FWSM.jpg]]

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-14T12:16:21Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Implementering af AAA Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''

Firewall mod ISP

Med et FSWM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans
for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme. 
Vi implementerer NAC i vores core, og sikrer os at alle administrative porte og porte på elevnettet bliver overvåget. 
Når brugeren får vist loginsiden og logger på bliver computeren først kontrolleret om den opnår de krav der er stillet, dvs.er de seneste antivirus definitioner, opdateringer og servicepacks installeret. Er dette tilfældet bliver brugeren logget på med de angivne rettigheder.
Er computeren ikke opdateret bliver den sat i karantæne indtil softwaren er opdateret. 
Dette kan evt foregå i karantæne stadiet for eksempel via en Wsus server. 
Ved hjælp af NAC Applience
Et IDS system sørger for at holde øje med at netværket ikke bliver misbrugt til ulovlig trafik, 
samt til at forhindre at vira skal sprede sig.

 
 '''Cisco IOS Firewall:'''

ip inspect name ethernetin cuseeme timeout 3600 ip inspect name ethernetin ftp timeout 3600 ip inspect name ethernetin h323 timeout 3600 ip inspect name ethernetin http timeout 3600 ip inspect name ethernetin rcmd timeout 3600 ip inspect name ethernetin realaudio timeout 3600 ip inspect name ethernetin smtp timeout 3600 ip inspect name ethernetin sqlnet timeout 3600 ip inspect name ethernetin streamworks timeout 3600 ip inspect name ethernetin tcp timeout 3600 ip inspect name ethernetin tftp timeout 30 ip inspect name ethernetin udp timeout 15 ip inspect name ethernetin vdolive timeout 3600 ip audit notify log ip audit po max-events 100 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2.jpg]]
 
 

'''FWSM:'''
 
[[Image:FWSM.jpg]]

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-14T12:15:01Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Implementering af AAA Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''

Firewall mod ISP

Med et FSWM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans
for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme. 
Vi implementerer NAC i vores core, og sikrer os at alle administrative porte og porte på elevnettet bliver overvåget. 
Når brugeren får vist loginsiden og logger på bliver computeren først kontrolleret om den opnår de krav der er stillet dvs.er de seneste antivirus definitioner, opdateringer og servicepacks installeret. Er dette tilfældet bliver brugeren logget på med de angivne rettigheder.
Er computeren ikke opdateret bliver den sat i karantæne indtil softwaren er opdateret. 
Dette kan evt foregå i karantæne stadiet for eksempel via en Wsus server. 
Ved hjælp af NAC Applience
Et IDS system sørger for at holde øje med at netværket ikke bliver misbrugt til ulovlig trafik, 
samt til at forhindre at vira skal sprede sig.

 
 '''Cisco IOS Firewall:'''

ip inspect name ethernetin cuseeme timeout 3600 ip inspect name ethernetin ftp timeout 3600 ip inspect name ethernetin h323 timeout 3600 ip inspect name ethernetin http timeout 3600 ip inspect name ethernetin rcmd timeout 3600 ip inspect name ethernetin realaudio timeout 3600 ip inspect name ethernetin smtp timeout 3600 ip inspect name ethernetin sqlnet timeout 3600 ip inspect name ethernetin streamworks timeout 3600 ip inspect name ethernetin tcp timeout 3600 ip inspect name ethernetin tftp timeout 30 ip inspect name ethernetin udp timeout 15 ip inspect name ethernetin vdolive timeout 3600 ip audit notify log ip audit po max-events 100 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2.jpg]]
 
 

'''FWSM:'''
 
[[Image:FWSM.jpg]]

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-14T11:37:55Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Implementering af AAA Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''

Firewall mod ISP

Med et FSWM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans
for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme. 
Vi installerer 2 NAC moduler i vores core, og sikrer os at alle administrative porte og porte på elevnettet bliver overvåget. 
Et IDS system sørger for at holde øje med at netværket ikke bliver misbrugt til ulovlig trafik, 
samt til at forhindre at vira skal sprede sig.

 
 '''Cisco IOS Firewall:'''

ip inspect name ethernetin cuseeme timeout 3600 ip inspect name ethernetin ftp timeout 3600 ip inspect name ethernetin h323 timeout 3600 ip inspect name ethernetin http timeout 3600 ip inspect name ethernetin rcmd timeout 3600 ip inspect name ethernetin realaudio timeout 3600 ip inspect name ethernetin smtp timeout 3600 ip inspect name ethernetin sqlnet timeout 3600 ip inspect name ethernetin streamworks timeout 3600 ip inspect name ethernetin tcp timeout 3600 ip inspect name ethernetin tftp timeout 30 ip inspect name ethernetin udp timeout 15 ip inspect name ethernetin vdolive timeout 3600 ip audit notify log ip audit po max-events 100 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2.jpg]]
 
 

'''FWSM:'''
 
[[Image:FWSM.jpg]]

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-14T11:32:18Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Implementering af AAA Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''

Firewall mod ISP

Med et FSWM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans
for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme. 
Vi installerer 2 NAC moduler i vores core, og sikrer os at alle administrative porte og porte på elevnettet bliver overvåget. 
Et IDS system sørger for at holde øje med at netværket ikke bliver misbrugt til ulovlig trafik, 
samt til at forhindre at vira skal sprede sig.

 
 '''Cisco IOS Firewall:'''

ip inspect name ethernetin cuseeme timeout 3600 ip inspect name ethernetin ftp timeout 3600 ip inspect name ethernetin h323 timeout 3600 ip inspect name ethernetin http timeout 3600 ip inspect name ethernetin rcmd timeout 3600 ip inspect name ethernetin realaudio timeout 3600 ip inspect name ethernetin smtp timeout 3600 ip inspect name ethernetin sqlnet timeout 3600 ip inspect name ethernetin streamworks timeout 3600 ip inspect name ethernetin tcp timeout 3600 ip inspect name ethernetin tftp timeout 30 ip inspect name ethernetin udp timeout 15 ip inspect name ethernetin vdolive timeout 3600 ip audit notify log ip audit po max-events 100 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2.jpg]]
 
 

'''FWSM:'''
 
[[Image:FWSM.jpg]]

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-14T11:31:42Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Implementering af AAA Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''

Firewall mod ISP

Med et FSWM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans
for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme. 
Vi installerer 2 NAC moduler i vores core, og sikrer os at alle administrative porte og porte på elevnettet bliver overvåget. 
Et IDS system sørger for at holde øje med at netværket ikke bliver misbrugt til ulovlig trafik, samt til at forhindre at vira skal sprede sig.

 
 '''Cisco IOS Firewall:'''

ip inspect name ethernetin cuseeme timeout 3600 ip inspect name ethernetin ftp timeout 3600 ip inspect name ethernetin h323 timeout 3600 ip inspect name ethernetin http timeout 3600 ip inspect name ethernetin rcmd timeout 3600 ip inspect name ethernetin realaudio timeout 3600 ip inspect name ethernetin smtp timeout 3600 ip inspect name ethernetin sqlnet timeout 3600 ip inspect name ethernetin streamworks timeout 3600 ip inspect name ethernetin tcp timeout 3600 ip inspect name ethernetin tftp timeout 30 ip inspect name ethernetin udp timeout 15 ip inspect name ethernetin vdolive timeout 3600 ip audit notify log ip audit po max-events 100 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2.jpg]]
 
 

'''FWSM:'''
 
[[Image:FWSM.jpg]]

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-14T10:35:08Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Implementering af AAA Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''

Firewall mod ISP

Med et FSWM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme.

Security manager
Det udstyr Campus har til rådighed er komptibelt med Cisco security manager.
 
 '''Cisco IOS Firewall:'''

ip inspect name ethernetin cuseeme timeout 3600 ip inspect name ethernetin ftp timeout 3600 ip inspect name ethernetin h323 timeout 3600 ip inspect name ethernetin http timeout 3600 ip inspect name ethernetin rcmd timeout 3600 ip inspect name ethernetin realaudio timeout 3600 ip inspect name ethernetin smtp timeout 3600 ip inspect name ethernetin sqlnet timeout 3600 ip inspect name ethernetin streamworks timeout 3600 ip inspect name ethernetin tcp timeout 3600 ip inspect name ethernetin tftp timeout 30 ip inspect name ethernetin udp timeout 15 ip inspect name ethernetin vdolive timeout 3600 ip audit notify log ip audit po max-events 100 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2.jpg]]
 
 
'''FWSM:'''
 
[[Image:FWSM.jpg]]

File:FWSM.jpg

2010-09-14T10:26:52Z

Pungrotten:

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-14T10:26:21Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Implementering af AAA Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''

Firewall mod ISP

Med et FSWM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme.

Security manager
Det udstyr Campus har til rådighed er komptibelt med Cisco security manager.
 
 Cisco IOS Firewall
'''Bold text'''
ip inspect name ethernetin cuseeme timeout 3600 ip inspect name ethernetin ftp timeout 3600 ip inspect name ethernetin h323 timeout 3600 ip inspect name ethernetin http timeout 3600 ip inspect name ethernetin rcmd timeout 3600 ip inspect name ethernetin realaudio timeout 3600 ip inspect name ethernetin smtp timeout 3600 ip inspect name ethernetin sqlnet timeout 3600 ip inspect name ethernetin streamworks timeout 3600 ip inspect name ethernetin tcp timeout 3600 ip inspect name ethernetin tftp timeout 30 ip inspect name ethernetin udp timeout 15 ip inspect name ethernetin vdolive timeout 3600 ip audit notify log ip audit po max-events 100 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2.jpg]]
 
 
'''FWSM:'''
 
[[Image:FWSM.jpg]]

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-14T09:13:58Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Implementering af AAA Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''

Firewall mod ISP

Med et FSWM installeret i vores 6500 switche har vi mulighed for at lave en virtuel active/active firewall med redundans for at beskytte vores netværk mod total blotlæggelse, hvis et firewall nedbrud skulle forekomme.

Security manager
Det udstyr Campus har til rådighed er komptibelt med Cisco security manager.
 
 Cisco IOS Firewall

ip inspect name ethernetin cuseeme timeout 3600 ip inspect name ethernetin ftp timeout 3600 ip inspect name ethernetin h323 timeout 3600 ip inspect name ethernetin http timeout 3600 ip inspect name ethernetin rcmd timeout 3600 ip inspect name ethernetin realaudio timeout 3600 ip inspect name ethernetin smtp timeout 3600 ip inspect name ethernetin sqlnet timeout 3600 ip inspect name ethernetin streamworks timeout 3600 ip inspect name ethernetin tcp timeout 3600 ip inspect name ethernetin tftp timeout 30 ip inspect name ethernetin udp timeout 15 ip inspect name ethernetin vdolive timeout 3600 ip audit notify log ip audit po max-events 100 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2.jpg]]

CCDP-Campus Viborg/Opgave 5/GruppeSkrammel

2010-09-13T12:57:50Z

Pungrotten:

'''Sikkerhed'''

''Sikkerhed Generelt''

Først og fremmest vil vi sikre at netværket er sikret mod angreb og trusler der kan forårsage nedbrud og fejl.

Dernæst skal det sikres, at servere og klienter er beskyttet mod sikkerhedsrisici, som f.eks. vira, malware, osv.

Sidst men ikke mindst skal alt det fysiske udstyr sikres mod direkte indtrængen. De forskellige VLAN’s skal også beskyttes fra hinanden, således at ikke alle kan alt.

Implementering af AAA Ved at implementere en login server kan adgang og rettigheder kontrolleres ved hjælp af politikker. Når en bruger vil tilgå et AP eller andet netværks udstyr bliver man autentificeret for at sikre man har gyldigt login.

Herefter vil brugeren få tildelt de rettigheder han har på det pågældende netværk. Imens sessionen er kørende skal der laves logning for accounten, således at man kan følge hvad personen har benyttet netværket til.

Vi vil sikre vores netværk imod uautoriseret brug, samt malicius netværkstrafik. På VLAN basis er det vigtigt at beskytte mod uautoriseret adgang på de forskellige VLAN’s. Dette betyder at elever på et elev VLAN f.eks. ikke må kunne tilgå det administrative VLAN.

Der vil altid være en reel risiko for udefrakommende angreb. Derfor har vi valgt at implementere fysiske firewalls for at mindske denne risiko bedst muligt. Sikkerheden for det fysiske udstyr er også en vigtig faktor, da der vil være muligheder for at folk vil forsøge at tilgå udstyret hvis det ikke er ordentligt sikret.

 En god sikkerhedsregel er at lukke for velkendte porte som typisk benyttes til eksempelvis download af torrents og andre arbejdsmæssigt irrelevante tjenester. Her er det vigtigt at alle porte som ikke skal benyttes bliver lukket, for at øge sikkerheden for netværket.

Der skal oprettes regler for de forskellige VLANs som begrænser brugernes rettigheder til det de må.

Elever: Fra elev VLAN’s skal der være adgang til internettet samt adgang til at gemme og hente data fra serverne som tilhører dem.

Administrativt: Herfra skal Lærer og andet personel kunne tilgå de data som er nødvendige for dem.

På samme måde skal alle de andre VLAN’s tildeles rettigheder til det som er krævet for de forskellige områder på skolen.

Vi har valgt at benytte LWAPP, som en ekstra sikkerhed for at AP’er ikke blot kan nedtages og derfra udtage informationer omkring netværket. Dette skyldes at der ikke opbevares data om netværket direkte på AP’en.

 ''Valg af udstyr etc''

Firewall mod ISP

Med et FSWM installeret i vores 6500 switch.. blahbla..

midlertidig huskeliste Et Active/Active FWSM i virtuelt firewall mode Sec manager, NAC, ACL, PIX, ASA, NAT, PAT??, specifik liste over udstyr, hvorfor er det valgt, hvordan og hvor skal det implementeres, hvor mange stks. 

afdelinger, filialer, vlans, brugere
 
 Cisco IOS Firewall

ip inspect name ethernetin cuseeme timeout 3600 ip inspect name ethernetin ftp timeout 3600 ip inspect name ethernetin h323 timeout 3600 ip inspect name ethernetin http timeout 3600 ip inspect name ethernetin rcmd timeout 3600 ip inspect name ethernetin realaudio timeout 3600 ip inspect name ethernetin smtp timeout 3600 ip inspect name ethernetin sqlnet timeout 3600 ip inspect name ethernetin streamworks timeout 3600 ip inspect name ethernetin tcp timeout 3600 ip inspect name ethernetin tftp timeout 30 ip inspect name ethernetin udp timeout 15 ip inspect name ethernetin vdolive timeout 3600 ip audit notify log ip audit po max-events 100 

 

opg 5a. 

ex. brug NAC og vpn

'''Udkast af design:'''
 
[[Image:Design2.jpg]]

CCDP-Campus Viborg/Opgave 3/GruppeSkrammel

2010-09-13T12:52:46Z

Pungrotten:

File:AS-stue.jpg

2010-09-13T12:50:49Z

Pungrotten:

CCDP-Campus Viborg/Opgave 3/GruppeSkrammel

2010-09-13T12:50:14Z

Pungrotten:

File:Stuen.jpg

2010-09-13T12:48:58Z

Pungrotten: