HIGH LEVEL DESIGN NETWERKVERNIEUWING

Vergelijkbare documenten
High Level Design Netwerk

Technische architectuur Beschrijving

Inleiding. Aan de inhoud van dit document kunnen geen rechten worden verleend.

Ontsluiten iprova via Internet Voorbeeld methoden

Versie 2.0 d.d. juli 2015 Aansluitspecificaties

De Enterprise Security Architectuur

Gemeente Den Haag Beschrijving technische infrastructuur

Gigaset pro VLAN configuratie

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Managed Gasten Internet

Intelligente Verkeers Regel Installatie (ivri) Fase 1

Remote Toegang Policy VICnet/SPITS

RUCKUS UNLEASHED GATEWAY

Scope Of Work: Sourcefire Proof Of Concept

NETWERKOPLOSSINGEN. IP Private Network. IPSEC Virtual Private Network. Metro Ethernet Connect

Kwalificeren en certificeren van netwerk bekabeling

Enterprise SSO Manager (E-SSOM) Security Model

Installed base Netwerk ROC Midden Nederland (April 2016)

DMZ Policy. Eindverantwoordelijkheid Goedgekeurd. 16 Februari Geaccepteerd Manager SPITS. Security Manager SPITS E.A. van Buuren.

Kostenefficiënt, flexibel en ultrabetrouwbaar bedrijfsvestigingen met elkaar verbinden

SD-WAN, de nieuwe IT- Infrastructuur. Een functionele en technische uitleg waarom SD-WAN zo populair is.

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Internettoegang klanten vereisten en verificatiemethodes voor netwerkextender Femtocell

Security: Laat je inspireren en neem actie! 1. Brecht Schamp Network & Security Specialist Phoenix Contact

Voorbeelden generieke inrichting Digikoppeling

Dienstbeschrijving CLOUD CONNECTED DIENSTVERLENING. Managed Internet. Classificatie: Extern

Business case Klant. Op basis van VoIP vanuit het DataCenter. Bodis HS Stef Boerhout Revisie

Digikoppeling adapter

Bijlage 11 Programma van Eisen

VP-Anylink De super dongle voor een snelle en betrouwbare mobiele breedbandverbinding

Documentnaam: Technisch Ontwerp Datum: Samenstelling: Bas, Chris & Teun Team Bas / Teun / Chris Versie: 1.4. Overzicht Tekening...

Case Study: Digitale KVM Matrix in dispatch ruimte

Intelligent Gebouw. Relatie met de technische infrastructuur. Heerlen, 15 december 2009 Architect Technische Infrastructuur

Forecast XL Technology

goes Secure Siemens Groep in Nederland Sander Rotmensen tel:

Dienstbeschrijving KPN IP-VPN. Een dienst in KPN ÉÉN

Firewallpolicy VICnet/SPITS

Security bij de European Registry for Internet Domain Names

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Een veilige draadloze internet-en netwerkverbinding in uw gemeente, voor u en uw burgers. Hoe pakt u dit aan? impakt.be

De Nationale Wasstraat (NaWas)

Grenzeloos Netwerken

Checklist informatieveiligheid. 12 januari versie 1.1

kulsysmn meeting 14-dec-2006

Tetra Industriële Security

Bijlage 2 - Acceptatiecriteria Wi-Fi

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Praktijkcase Industrieel Ethernet netwerk.

Netwerk infrastructuur Wellantcollege

Revisie geschiedenis. [XXTER & KNX via IP]

De kracht van de blueprint Het middelpunt van het Software Defined Data Center

CHANGE REQUEST VOOR WIJZIGING ZONDER IMPACT OP HUURKOSTEN

emaxx Systeem eisen ManagementPortaal voor de ZakenMagazijn database

Architectuur GGI-Netwerk

Installeren Internet Plus. Handleiding

IAP DYNAMIC VLAN. Technote. Alcadis Vleugelboot CL Houten Versie: 1.0 Auteur: Herwin de Rijke Datum: 27 juli 2015

Koper en glasvezel bekabeling; Is uw netwerk klaar voor de toekomst? Molex Premise Networks Frank van Kessel

Dienstbeschrijving mshield. Een dienst in KPN ÉÉN

Werken met IP Achtergrond. IP workshop. IP workshop, deel 1. Voorstellen. Agenda. Hoe communiceren via IP? Wat is IP?

Factsheet Backup on demand

Multiple LAN subnet VigorSwitch P1100

Remote Services over IP. Algemene uitleg over de nieuwe manier van beheer op afstand

Vigor 2860 serie Multi PVC/EVC - RoutIT

Dienstenbeschrijving Imtech ICT Wireless LAN as a Service

Toetsmatrijs examen 8491

Michiel Snoep Remote Access / SSL. 14 april 2005 GvIB, De Kuip Rotterdam

4 poorts PoE Switch Gebruikers Handleiding SW-104 ( )

Richtlijnen voor het gebruik van een sterpunt

Dienstbeschrijving SURFconext

802.1x instellen op een Trapeze MX

Hoe werkt de DrayTek Firewall? Default Call en Data Filter

Service Level Agreement Managed Voice

Van Small Business Server naar Cloud Small Business Services. Uw vertrouwde Small Business Server in de cloud

BootCamp. Template Powerpoint Datum

NVTG VZI studie dag. Wim Bos.

HET HOE EN WAT VAN ONLINE DIENSTEN DOOR: STEVEN ADEMA EN ANNEJENT HOEKSTRA

Oracle Cloud, slim bekeken!

Unified Access One Network One Policy One Management

End to End Virtualisation

we secure YOUR network Versleuteling voice en data verkeer voor optimale beveiliging verbindingen

Hoe industrieel Ethernet de taak van de PLC beïnvloed heeft. Henk Capoen, CATAEL

Pheenet WAS-105r standaard configuratie met VLAN s. Technote

Tag Based VLAN. VigorSwitch G1260

Van 6 weken naar 6 minuten. met. OpenSource. Jan-Taeke Schuilenga Infrastructuur Architect Jantaeke.schuilenga@duo.nl

Een dag uit het leven van een Cloud consument Stefan Willems, Platani Marcel Steenman, Platani

Met de functie 'Bind IP to MAC' heeft u meer controle over het gebruik van LAN IP-adressen die in het netwerk worden gebruikt.

Annex 3 Pakket van eisen en wensen Netwerkdiensten. Openbare Europese Aanbesteding

Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.

Implementatiekosten en baten van SURFconext. Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters

Met de functie 'Bind IP to MAC' heeft u meer controle over het gebruik van LAN IP-adressen die in het netwerk worden gebruikt.

Levering actieve netwerkcomponenten en aanvullende diensten. Functioneel en Technisch ontwerp

1945, eerste DC. Eigen logo

Transcriptie:

HIGH LEVEL DESIGN NETWERKVERNIEUWING ICTU BRADON BV Versie 1.2

INHOUDSOPGAVE 1 Documentbeheer... 3 2 Inleiding... 4 3 Huidige situatie... 5 4 Vernieuwing actieve componenten... 6 4.1 Design... 6 4.2 Zonering... 7 4.3 Verkeersstromen... 7 4.4 Externe toegang... 8 4.5 Routering... 8 4.6 VLAN... 8 4.7 QoS... 9 4.8 Authenticatie, Autorisatie & Accounting... 9 4.9 Power over Ethernet... 9 5 Security uitgangspunten... 10 5.1 Defence in Depth... 10 5.2 Haagsche Ring... 10 5.3 DC... 10 5.4 Firewall... 10 5.5 LAN... 11 5.6 Port Security... 11 5.7 Virtuele scheiding ISD OTA... 11 5.8 Securitybeleid... 11 6 Vernieuwing bekabeling... 12 6.1 Horizontale bekabeling... 12 6.2 Verticale bekabeling... 12 6.3 Patching en kasten... 12 2

1 DOCUMENTBEHEER Versiebeheer Versie Auteur Aanpassingen Datum 0.1 tm 0.8 Michael Heer Initiële versies 06-01-2016 0.9 Paul Jansen Review en opmaak 08-01-2016 1.0 Paul Jansen Finale versie ter accordering 19-01-2016 1.1 Paul Jansen Tekening m.b.t. aantal SER s aangepast 31-03-2016 1.2 Paul Jansen Tekening m.b.t. aantal SER s aangepast en Server switches binnen scope geplaatst 04-04-2016 Document review & distributie Naam reviewer Organisatie E-mail Review datum John Schenk Eric Bakelaar Arre Zuurmond Hans van Beek Paul Jansen ICTU ICTU ICTU Bradon Bradon Document goedkeuring Naam Handtekening Datum John Schenk Paul Jansen 3

2 INLEIDING Dit document beschrijft het high level design (HLD) van de LAN infrastructuur (inclusief bekabeling) voor ICTU. De betreffende LAN Infrastructuur bevindt zich op de door ICTU in gebruik zijnde verdiepingen in het gebouw aan de Wilhelmina van Pruisenweg 104 in Den Haag. De uitgangspunten zoals beschreven in dit HLD komen voort uit de Business Requirements zoals die door ICTU zijn vastgesteld. Door de leveranciers / aanbieders (in het kader van deze aanbesteding) moet het HLD gezien worden als aanvullende informatie van waaruit oplossingen worden uitgewerkt die voldoen aan het Programma van Eisen (PvE). Leeswijzer De opzet van dit document is als volgt: Huidige situatie: bevat een globale beschrijving van de huidige opzet van het gehele netwerk. Een gedetailleerde beschrijving hiervan is als puur informatief document beschikbaar. Gewenste situatie: bevat het HLD van de gewenste situatie met daarin onder meer: a. Een overzicht van het HLD b. Zoneringen c. Verkeersstromen d. Routeringen e. Quality Of Service Security: beschrijving van de uitgangspunten voor security Bekabeling: beschrijft de globale eisen waaraan de bekabeling (ter vervanging van de huidige) moet voldoen. 4

3 HUIDIGE SITUATIE Bij ICTU heeft een onsite inventarisatie plaatsgevonden. Hierin is de huidige situatie van de LAN infrastructuur, de firewalls, de koppelingen en de bekabeling in kaart gebracht. Deze inventarisatie is gedocumenteerd en in een apart document beschreven. Dit document is puur informatief bedoeld. De volgende tekening geeft de huidige omgeving bij ICTU weer. VOORBEELD SER HAAGSCHE RING MER INTERNET SERVERS ISD FW DATA CENTER 5

4 VERNIEUWING ACTIEVE COMPONENTEN Op basis van de business requirements en het programma van eisen worden hier onderwerpen toegelicht die van toepassing zijn voor het nieuwe design. 4.1 DESIGN De volgende design criteria dienen te zijn verwerkt in een oplossing voor de nieuwe LAN infrastructuur: 1. Eenvoudig design op basis van hiërarchisch model 2. Definitie van building block 3. Schaalbaarheid bij uitbreiding, building block 4. Wire speed switching en forwarding 5. Non-blocking architectuur in de core 6. Hoge beschikbaarheid 7. Redundantie 8. Snelle convergentie 9. Dynamische routering 10. Beveiliging en filtering 11. Geavanceerde QoS functies 12. Gebruik van alle uplinks door channel technieken 13. Gestandaardiseerde koppelvlakken 14. Product selectie zodat geen koeling in de SER nodig is 15. Full patching op access poort niveau, switches hoge poort dichtheid 16. Eenvoudig beheerbaar en single vendor (uitgezonderd de firewalls) Dit resulteert in het volgende high level design. KANTOOR ICTU EXTERN Scope HLD DATA CENTER SER4A SER4B SER5A SER5B INTERNET SERVER Switches MER HAAGSCHE RING WIFI 6

De met rode tekst / omkadering aangegeven delen vallen buiten scope van deze aanbesteding. 4.2 ZONERING Om aan gebruiksgemak, eenvoud, beveiliging en aan de requirements te voldoen dient er gebruik te worden gemaakt van zonering binnen de omgeving van ICTU. De scheiding tussen de verschillende zones binnen de LAN infrastructuur dient op basis van filtering te gebeuren. De filtering zal worden ingericht op basis van restrictie op laag 4 van het OSI model. SCIT en het securitybeleid bepalen welke restricties er tussen de zones zullen worden toegepast. Zone... Zone ISD Zone financiën Zone HR Zone SCIT Zone servers Zone DC Zone wifi Zone DMZ Zone Internet 4.3 VERKEERSSTROMEN Voor het nieuwe ontwerp van de LAN infrastructuur is het van belang om de belangrijkste verkeersstromen inzichtelijk te hebben. Deze verkeersstromen dienen te passen in het nieuwe ontwerp. De belangrijkste verkeersstromen worden weergegeven in de volgende tekening: 7

Externe locatie en thuis ICTU user ISD user Internet Citrix open VPN Citrix DC Haagsche Ring Server Storage Backup DHCP DNS AD ICTU kantoor ICTU user ISD user open VPN Citrix Apps Open VPN Hierin verwerkt gebruikers internet, servers, DC, citrix en sd open vpn en externe gebruikers vpn en citrix 4.4 EXTERNE TOEGANG De externe toegang voorziet in communicatie met het internet, DC, de Haagsche Ring en derde partijen, waarbij integriteit, vertrouwelijkheid en betrouwbaarheid volgens de geldende certificering en het securitybeleid van ICTU geregeld zijn. Voor externe toegang met derde partijen vertaalt zich dit in VPN verbindingen gekoppeld met een firewall bij ICTU en restrictie op het inkomende en uitgaande verkeer richting de derde partij. Externe toegang van gebruikers tot het netwerk van ICTU geschiedt voornamelijk via de Netscaler Citrix oplossing en is ingeregeld en buiten scope. Voor software ontwikkelaars is er een bestaande mogelijkheid om connectie te maken met het deel van de omgeving in relatie tot het project waar de ontwikkelaar bij betrokken is. De afdeling ISD regelt de beveiliging en communicatie en documentatie hiervan. Dit is ingericht conform de geldende certificering en het securitybeleid en valt buiten de scope van dit design. 4.5 ROUTERING Routering moet plaatsvinden via een dynamisch routering protocol welke aan de IETF standaard voldoet. De keuze en configuratie van de routering voorziet in snelle convergentie, redundantie van de omgeving en zorgt ervoor dat meerdere redundante lijnen actief zijn en volledig in bandbreedte worden gebruikt. Een routeringprotocol dat aan deze eisen voldoet is OSPF. De routeringsinformatie moet worden uitgewisseld tussen de nieuwe infrastructuur voor het LAN, het firewall cluster en de routers in het Data Center. 4.6 VLAN De huidige vlan indeling voorziet in één enkel vlan voor alle gebruikers. De vlan indeling moet opnieuw ontworpen worden waarin minimaal wordt voldaan aan de volgende uitgangspunten: Op basis van aangegeven zonering in dit HLD moet een vlan indeling uitgewerkt te worden Minimaal een separaat vlan voor software ontwikkelaars 8

Transparant en inzichtelijk Eenvoudig van opzet en beheerbaar en schaalbaar voor beheer afdeling van ICTU Toepassing van vlan transport protocol (V3) voor distributie vlans Maximale performance voor gebruikers Het vlan ontwerp moet aansluiten / passen binnen het totale HLD en moet rekening houden met de gebieden die buiten scope zijn (zie overzichtstekening) Maximaal mogelijke security op vlan niveau ten behoeve van het design 4.7 QOS Voor QoS dient het volgende te worden gerealiseerd: QoS beleid voor verschillende verkeersstromen, zoals Citrix en toekomstig video conferencing, met daarin beschreven welke vorm van QoS wordt gehanteerd QoS markering voor scheiding verkeersstromen QoS configuratie policy De volgende instellingen zijn van belang bij de implementatie: DSCP en COS markering op de poorten en uplink QoS afstemming configuratie parameters access en core QoS policy configuratie voor Citrix verkeer en video conferencing QoS template voor toekomstige applicaties 4.8 AUTHENTICATIE, AUTORISATIE & ACCOUNTING ICTU wil in de toekomst een AAA faciliteit inrichten. Deze inrichting bevindt zich buiten de scope van de gevraagde oplossing, echter deze gevraagde oplossing moet de volgende functionele mogelijkheden ten aanzien van AAA kunnen faciliteren: Eenvoudig beheer users en aanmaken policy met wat de user mag op een device Eenvoudig aanmaken en beheer van devices en mogelijkheid te groeperen Duidelijk overzicht en inzicht wie wanneer ingelogd is geweest en wat veranderd is Rapportage mogelijkheden 4.9 POWER OVER ETHERNET Conform het huidige gebruik en toekomstig gebruik van het netwerk en de aangesloten apparatuur dient 10 procent van de patchpunten PoE te zijn. Het verdient de voorkeur dat er redundantie is voor PoE binnen de SER voor de bediende AP s en deze worden aangesloten zodat er een zo groot mogelijke dekkingsgraad blijft bij het uitvallen van een netwerk component waar de AP s op aangesloten zijn. 9

5 SECURITY UITGANGSPUNTEN Security is binnen het nieuwe design een belangrijk onderwerp en zal vanuit dit document vanuit diverse hoeken worden belicht. In scope is security voor het LAN en vervangen van het firewall cluster. Vanuit het PvE zal worden beschreven waaraan de oplossingen moeten voldoen. Generiek uitgangspunt is dat er voor ICTU security by design wordt gerealiseerd. 5.1 DEFENCE IN DEPTH In de nieuw te bouwen oplossing moet er een functionele beschrijving zijn hoe security wordt uitgevoerd binnen de nieuwe omgeving van ICTU. De positionering van de security apparatuur dient te zijn beschreven en welke security lagen worden afgedekt met welke middelen. 5.2 HAAGSCHE RING De Haagsche ring koppeling voorziet in communicatie met andere overheidsinstellingen. Voor SCIT betreft dit in- en uitgaand verkeer. Voor ISD is binnenkomend verkeer zijn. De volgende punten dienen uitgewerkt te zijn in het nieuwe design: Haagsche Ring koppeling dient eigen firewall te krijgen Firewall Haagsche Ring dient andere vendor te zijn dan centrale firewall voor hoog security niveau De Haagsche Ring firewall dient de mogelijkheid te ondersteunen voor clustering voor het geval dat de lijn in de toekomst redundant wordt Firewall Haagsche Ring wordt gekoppeld op centrale firewall. Filtering dient te gebeuren op de centrale firewall en meer gedetailleerde firewall technieken zullen op de Haagsche Ring firewall worden geconfigureerd 5.3 DC Het DC wordt via twee KPN EVPN verbindingen gekoppeld. Op deze verbindingen zit geen encryptie. Deze koppeling wordt gezien als zone. 5.4 FIREWALL In het design is ook de vervanging van de huidige Babylon firewall opgenomen. De nieuwe firewall dient in het volgende te voorzien: Hoge beschikbaarheid Redundantie Identity base filtering, applicatie filtering, rule base filtering Optioneel aanbieden antivirus, botnet filtering, IPS, webfiltering, SSL inspectie VPN site 2 site De positie van de firewall en de zonering kan er als volgt uit zien: 10

5.5 LAN Voor security op LAN niveau binnen ICTU dienen oplossingen te worden geïmplementeerd die een hoog security niveau neerzetten. Vanuit de business requirements dienen in het nieuwe design minimaal de volgende zaken te worden gerealiseerd: STP beveiliging, op poort niveau tegen poisoning en root beveiliging netwerk breed Storm control op poort niveau Het netwerk dient in de gehele breedte beveiligd te zijn tegen device attacks, link flooding, traffic interception, MAC spoofing, IP spoofing, CAM table spoofing, DHCP spoofing, DHCP starvation, ARP spoofing Op de netwerkapparatuur dienen de control, data en management plane beschermd te zijn tegen ongeauthoriseerde toegang, flooding, rouring protocol spoofing, spanning tree spoofing, vlan transport spoofing, link flooding, misbruik van management features en management sessie spoofing Toegang tot netwerk apparatuur AAA functie, Role Based Access Control, secure management protocols 5.6 PORT SECURITY Voor port security zal nog geen oplossing in gebruik genomen worden. De netwerk apparatuur dient voorbereid te zijn de mogelijkheden en IETF protocollen welke zijn benoemd in het PvE, voor een toekomstige port security oplossing. 5.7 VIRTUELE SCHEIDING ISD OTA De afdeling ISD heeft een eigen ontwikkel afdeling. In het design dient een oplossing uitgewerkt te worden waarbij gebruikers van ISD in een afzonderlijke netwerk omgeving kunnen werken die afgescheiden is van het kantoor netwerk en hier geen invloed op kunnen uitoefenen. Hierbij kan worden gedacht aan een VRF scheiding met daarin een OTA netwerk. 5.8 SECURITYBELEID In het kader van security certificeringen wordt het nieuwe design getoetst aan de ISO27001 en de BIR, welke is afgeleid uit de ISO27001. 11

6 VERNIEUWING BEKABELING Het opnieuw inrichten en optimaliseren van de bekabeling infrastructuur in het pand van ICTU in Den Haag is onderdeel van het nieuwe design. Dit loopt parallel aan een project waarbij de indeling van de door ICTU in gebruik zijnde vleugels opnieuw worden ingericht en ingedeeld. 6.1 HORIZONTALE BEKABELING De horizontale bekabeling voor het nieuwe design dient te worden gerealiseerd conform de nieuwe indeling van de door ICTU in gebruik zijnde vleugels van het pand. In het PvE is beschreven hoeveel wall outlets er per vleugel dienen te worden gerealiseerd. 6.2 VERTICALE BEKABELING De verticale bekabeling voor het nieuwe design dient te worden gerealiseerd met glasvezel. Alle SER s dienen in de nieuwe situatie een rechtstreekse koppeling en voldoende glasvezel verbindingen te hebben met de MER. In de huidige situatie zijn er al een aantal glasverbindingen. 6.3 PATCHING EN KASTEN Vanuit de business requirements is bepaald dat er full patching gedaan zal worden en alle patchpunten zullen worden aangesloten op netwerk apparatuur. Er zijn geen mogelijkheden tot actieve koeling in de SER patchkasten. 12

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback