Situatie:

KMO netwerk: Ongeveer 20 printers, 70 clients en 15 servers

Binnenkort moet ik heel het netwerk gaan restylen. Aangezien de huidige firewall niet meer aan de eisen voldoet komt er een nieuwe ISA 2006 server. Deze zou zorgen voor segmentatie en een vlotter VPN gebeuren. Mijn plan vindt u terug op de tekening. Nu zit ik nog met een paar vraagjes:

1)      Is dit netwerk een beetje correct opgesteld? Hebben jullie nog suggesties?

2)      Er is een terminal server met thin clients. De thin clients staan in een productieomgeving. Aangezien het een productieomgeving is, is dit geen veilige netwerkomgeving(veel volk loopt binnen en buiten zonder controle).

Steek ik deze in dezelfde zone als mijn servers en clients of plaats ik ze in een andere zone?

3)      Bekijk even het 172.16.10.x/24 netwerk. Welke indeling maken jullie meestal? 172.16.10.1-20 servers, 50-150 clients, 200-230 printers?

4)      Moet ik mijn servers in een aparte zone onderbrengen?

Dank u voor uw inbreng.

Ik ben btw mr anonymous :) :p

Ik zou ook om een beetje breder te zitten een subnetmasker kunnen nemen van 255.255.192.0 zodat ik 4 subnets heb om iets breder te zitten. Wat denken jullie?

Want eigenlijk heb ik nu een klasse B netwerkadres die ik met een masker omvorm naar een klasse C (silly me, ik had eerst moeten nadenken)

Naar gelang van hoe secure je het wil zou ik volgende netwerken crëeren

• Public (NAT)=> public ip en alle externe netwerken
• Client zone (ROUTE, firewall client)=> voor uw pc's en wlan aansluiting
• magazijn zone (ROUTE, als het kan firewall client)=> alle thin clients
• server zone (Route, secure nat)=> al uw servers
• (guest zone (secure nat) => extra zone voor non domain clients)

Wat uw ip's aangaat ga je een totaal ander beel krijgen. Een subnet per netwerk toekennen. Hoe groot dat subnet is moet je zelf bepalen maar een /24 is zeker mogelijk. GE gaat geen ip's te kort komen.

mvg

Tom

Bedankt voor jouw antwoord  :-) Ik zal snel een tekening maken om jouw voorstel ook even te schetsen.

Er zit bij jouw tekening imho een probleem, een aparte zone voor servers en ééntje voor clients/wifi, krijg ik dan geen problemen met network throughput?

Al het verkeer van client zone naar server zone zou dan namelijk door een Gbit NIC van de ISA gaan. Dit wordt volgens mij een dikke bottleneck. Tenzij ik begin met port thrunking natuurlijk. Hoe lossen jullie dit op?

Port truncking op ISA gaat alleen problemen geven. Een van ISA's grote tekort komingen is de loadbalancing, als je meer bandwidth wil moet je naar ISA cluster grijpen vrees ik.

Je zit indeed met een "bottle neck", je moet gewoon bekijken welk type gebruikers je hebt en hoeveel netwerk traffiek dat op vandaag genereert op uw netwerk. Ik kan u alvast meegeven dat ik reeds zo'n setup opperationeel heb en er heeft nog geen kat gekraait over vertragingen. De users zijn wel allemaal standaard gebruikers die mail, file access en zo doen, maar geen gigabyte file tansfers uitlokken,...

Ik geloof heel sterk in netwerk segmenation als security boundry en client + servers op 1 open subnet of 2 fully routed subnets is niet echt secure als je weet dat 90% van alle misbruiken van intern komen.

ISA als barriar gaat u

• user based auth geven
• appl layer filtering
• central logging

Maar ge moet er uw de Gigbit bij pakken. Voordeel van ISA is natuurlijk dat extra NIC's en netwerken very low cost zijn dus ge kunt altijd verder gaan opsplitten als je traffic problemen ziet.

Alternatief is natuurlijk op swtich layer met ACL's werken maar ge mist de advanced filtering en config gemak.

't is een keuze da ge moet maken natuurlijk.

grt

Tom

Jij zou dus zoiets opstellen (zie tekening). Of zou je kiezen voor een andere IP indeling? Ik kies hier voor een klasse B met /19 masker (8 subnets, 8190 hosts/subnet).

Jep,

Da's hoe ik het netwerk zou gaan opbouwen, maar zoals gezegd moet je even checken of je genoeg bandwidth zal hebben voor de clients. Maar als je het aantal clients ziet 70tig en die runnen op 100mbits en daar zitten nog wat thin clients en gewone office gebruikers tussen zie ik niet direct een probleem.

Als ik u nog een goeie raad mag geven geven probeer een goeie Layer 2 of zelfs layer 3 switch te voorzien. Momenteel is uw ISA een crusiale single point of failure en dat kan je op 3 manieren opvangen:

1. clustered ISA => enterprise editie 2x hardware => duur maar de beste optie en zal u ook load balancing geven
2. Een cold spare ISA => Identieke hardware klaar hebben met windows en ISA op, dagelijks de ISA config dumpen naar een externe locatie. Als de ISA faalt config opladen op second server
3. Via een Layer 3 switch inter Vlan routing gebruiken. Dit is de setup die ik momenteel heb. Op dat ogenblik verlies je de extra security layer maar krijg je wel een heel snel business continuity oplossing die je zelfs vanop afstand kan activeren.

good luck met uw project.

grt

Tom

>>1. clustered ISA => enterprise editie 2x hardware => duur maar de beste >>optie en zal u ook load balancing geven

Ouch, very expensive :-P

>>2. Een cold spare ISA => Identieke hardware klaar hebben met >>windows en ISA op, dagelijks de ISA config dumpen naar een externe >>locatie. Als de ISA faalt config opladen op second server

Goed idee en kostvriendelijk

>>3. Via een Layer 3 switch inter Vlan routing gebruiken. Dit is de setup die >>ik momenteel heb. Op dat ogenblik verlies je de extra security layer maar >>krijg je wel een heel snel business continuity oplossing die je zelfs vanop >>afstand kan activeren.

Er is een backbone met 2 layer 3 switches (met routing). Dus deze optie kan ook. Ik heb echter de vraag hoe je die dingen gaat bereiken als je ISA en dus je VPN en RAS plat ligt?

Als uw enige manier van binnenkomen via ISA is ben je natuurlijk deraan voor de moeite maar een goedkope oplossing is natuurlijk een 65k modem aan de switch hangen en direct dial in doen. Naar security is dit perfect en er zijn geen maandelijkse vaste kosten aan verbonden.

ISA uitschakelen en fully routed over L3 switches moet je ook echt zien als last resort om business continuity te hebben waarbij je security dan maar even een stap achteruit moet doen.

Trouwens als je een spare server hebt met ISA erop kan je zover gaan als een cross cable tussen de 2 hangen met copy script en de poorten shut zetten. Bij failure gewoon de live server shutten en spare server unshutten.

grt

Tom

>>een goedkope oplossing is natuurlijk een 65k modem aan de switch >>hangen en direct dial in doen.

Damn, daar had ik nog niet eens aan gedacht. Het zal een kwestie van ervaring zijn zeker? :) bedankt!

Alweer een goede opmerking. Spare server moet natuurlijk geen bakbeest zijn. Persoonlijk heb ik een hekel aan single point of failures :p

Bedankt voor je inzet Tom!