Jump to content

Netzwerk Planung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Da ich als relativer Anfänger mein erstes Business Netzwerk bauen muss, hier ein Paar Fragen.

Zuerstmal was vorhanden ist:

LANCOM 1751

4x HP 24port 1810

Ca. 30 interne Clients

Zusätzlicher Router der eine VPN Verbindung permanent aufrecht hat (muss sein und ist nach gewissen Regeln vorkonfiguriert, und muss hinter dem LANCOM sitzen), wird glaube ich intern zugegriffen (muss noch klären) oder muss LANCOM eine VPN Verbindung von außen erlauben, damit man extern zu dem VPN Router kommt.

Proliant Server

10 Schulungnotebooks

2 WLAN APs

 

Anforderungen:

Überall Internet, eh klar.

Netzwerkumgebung1: Mitarbeiter und Drucker, WLAN BÜRO, intern - VLAN1

Nerzwerkumgebung2: WLAN AP für Besucher, hat Internet aber ist im Firewall vom Rest des Netzwerks getrennt, darf keinerlei Zugriff in das interne Netzwerk haben - VLAN2

Netzwerkumgebung3: Schulungsnetz, inkl. Server - kein Internet an Notebooks aber schon am Server, auch keinerlei Zugriff in das interne Netzwerk AUS dem Schulungsnetz aber schon aus dem internen IN das Schulungsnetz (müsste via Firewall auch unproblematisch gehen) - VLAN3

 

So, das ganze Netz wird im gleichen Subnet sitzen, switches managen VLANs, LANCOM hat 4 Ports:

ETH1: Internet1

ETH2: Backup Internet (muss noch klären ob LANCOM das unterstützt)

ETH3: zum Hauptswitch

ETH4: VPN Router

 

Das einzige was mir unklar ist, wie soll ich, wenn ich Server und Sch.NB in einem VLAN habe, den Server das Internet geben und dann Laptops Internet verbieten. Könnte ein Firewall Rule für den IP Range der Notebooks eintragen und Internet sperren (übliche Ports halt...). Oder soll ich den Server in die separate VLAN geben, vorallem weil eventuell einige VMs geplannt sind.

 

Was meint ihr?

 

LG

Kosta

Link zu diesem Kommentar

Morn,

 

ich gucke nun seit heut morgen mir die Eröffnung des Thread mehrfach an, suche die Planung, sehe Rätsel und ein Paradoxen. Möglicherweise liegt es ja am Älterwerden, aber seit dem Beginn meiner Ausbilder anno 64 am Schraubstock bin ich an Zeichnungen, zumindest Skizzen des Werkstückes gewöhnt, danach konnte ich meine Vorgehensweise für die Fertigung planen.

 

 

Anforderungen:
Überall Internet, eh klar.

 

 

und dann Laptops Internet verbieten.

 

Was denn nun?

 

Und willl man den Schulungsteilnehmern (Kunden) tatsächlich das Internet verbieten auf den Rechnern? Und wen will man es erlauben? Und wer will verbieten und erlauben, der Admin oder der Dozent?

 

Nun, ohne Etat würde ich wohl einen (Transparent)Proxy verwenden, wahrscheinlich IPCop. mit Etat wohl eine pädagogische Software wie Vision 7 Pro von Netop. Ich müsste schauen, was wirklich sinnvoll benötigt.

 

Was sollen die Netzwerkumgebungen 1, 2, 3 sein, Arbeitsgruppen, also Browserlisten? Oder nur VLANs? Es ist ja kein schlechter Gedanke die Einführung verschiedener Arbeitsgruppen, es ist aber kein Sicherheitskonzept, es ist nur (Master)Browser und Listenführung. Falls man das so möchte, dann ist das in Ordnung, man sollte wissen wozu, warum, das kann auch Vorliebe sein (ich möchte das so, sieht schöner, ordentlicher aus).

 

VLANs sind eine feine Sache. Damit kann man echte, starke Trennungen vornehmen. Man muss sich aber überlegen, ob es im Netz gemeinsam benutzte Element gibt, Schnittmengen sozusagen, wie Server und Internetzugang.

bearbeitet von lefg
Link zu diesem Kommentar

lefg, hast vollkommen Recht. Ich hab das heute in Zug geschrieben, aber ein Diagramm habe mir gerade Zeit genommen und von einer Skizze ins Visio übertragen. Gehen wir bitte von dem aus.

Nun bitte:

 

post-68428-0-07562000-1397596797_thumb.jpg

 

Link zum Original: https://dl.dropboxusercontent.com/u/31158446/Firmennetz.jpg

 

 

Warum Arbeitsgruppen - lt. meinen Vorgesetzten sind wir nicht wirklich im Gefahr. Die Citrix Verbindung an der wir arbeiten geht in das Hochsicherheits-Rechenzentrum in Deutschland, und man braucht sich da wenig bis gar keine Sorgen machen. Was lokal rennt und installiert ist, ist eigentlich vollkommen egal. Hauptsache die Internetleitung geht.

 

Eigentlich geht es so weit, dass die Geschäftsleitung nichts lokal haben will. Nicht mal einen DC oder AD, oder geteilte Ordner. Es wird alles im Citrix gespeichert und nur dort. Wobei ich persönlich arbeite noch immer lokal. Aber die, die es nicht besser wissen, und das sind die meisten, die arbeiten nur im Citrix. Somit kann man seine Arbeitsumgebung überall aufrufen.

 

Aber die zwei Anforderungen sind eben ein völlig funktionierendes Schulungsnetz, sicherheitstechnisch gut getrennt vom Citrix und Gast-WLAN.

Grundsätzlich, für Citrix braucht man ja nix mehr als Zugriff auf dem VPN-Router (eigene Adresse/Port) und eine vergebene oder sogar statisch eingetragene IP-Adresse. Man braucht für die Citrix Verbindung nichtmal Internet in unseren Fall!

 

Ich hoffe dass das einiges geklärt hat! Fall Fragen, bitte!!

bearbeitet von kosta88
Link zu diesem Kommentar

Wenn die Geschäftsleitung keine lokale Datenhaltung will, würde ich mich daran halten und das nicht untergraben. Da spielen auch Aspekte wie Datensicherung, Datenschutz, Offenlegung von Informationen, etc. eine Rolle.

 

Die drei Netze für Schulung, Gäste und Intern würde ich jeweils an einen Firewallport hängen und über die Firewall filtern.

Link zu diesem Kommentar

Morn,

 

schönes Diagramm, gut gemacht. :)

 

Die Frage(n) die gestellt unter Umständen, von sich selbst oder von Auditoren: was soll geändert werden, warum soll es geändert werden? Zweck, Notwendigkeit; Lage, Ziel, Weg, Vorgehensweise, Mittel, Werkzeuge, Geräte, Kosten, Etat.

 

Wurde sich schon mit den Möglichkeiten der ProCurve beschäftigt? Was da jetzt konfiguriert? Wie kommen die Rechner der Schulung(VLAN 2) jetzt ins Internet?

bearbeitet von lefg
Link zu diesem Kommentar

Ich werde sicher nicht untergraben was GF will, finde es nur für unsere Arbeitszwecke fehlend. Aber gut. Was die wollen, ich machen. Wenn ich was falsch finde, dann begründe ich es und wird normalerweise akzeptiert. War bis jetzt so.

 

Wie ich schon geschrieben, das Netzwerk muss neu gemacht werden, und bevor ich korrigiere was die Vorgänger gemacht haben, baue mir mein eigenes Plan und mache es danach. Es ist nicht die Frage ob was geändert werden muss, sonder ob es passt der Skizze danach und den Anforderungen.

 

Mit dem ProCurve habe ich mich noch nicht beschäftigt, erstmal versuche ich den LANCOM in die Reihe zu kriegen, aber das Ding bekomme ich nicht zu verstehen. Ist ja alles andere als ein Router. Der kann ja so viel und alles heißt anders als was ich bis jetzt kannte...

 

Norbert, wurde eigentlich nicht genehmigt sondern stellte ich fest dass wir die bereits haben!! Einem Mitarbeiter ist unser VLSC Zugang eingefallen und so kam ich ENDLICH zu allen unseren MS Lizenzen. Für den Visio 2010 und einige andere Schätze haben wir die Lizenzen. Die Geschäftsleitung konnte mir dazu aber nicht viel sagen, sonder überrascht nur aha!! Tja, was soll ich sagen...

 

Daniel, was meinst du mit dem Firewallport? Es gibt irgendwo ein Zywall2 herumkugeln, aber die anderen Admins mit denen ich geredet habe sagten ein Router und basta. In dem Router (LANCOM) mittels FWRules alles zwischen VLANs regeln.

 

Wie meinst du das genau?

Link zu diesem Kommentar

zum Lancom :

 

mach dir ein Userkonto bei Lancom und check mal die Firmware von deinem Lancom.

Danach hast du durch dieses Konto Zugriff auf die wirklich gute Lancom-Dokumentation und den Lancom-Support.

 

Danach würde ich mir überlegen ob ich den VPN-Zugang nicht auch über den Lancom laufen lasse.

 

 

Der ETH3/ETH4 Trunk bringt dir nichts, da ein ETH-Port am Lancom als 1GBit arbeitet und du diese Bandbreite sicher nicht aus dem Internet ziehst. Den Aufwand kannst du dir also sparen.

 

Die übrigen Trunks halte ich auch für überflüssig, da du keinen lokalen Fileserver aufbauen darfst/willst und alles über die VPN-Leitung auf deinen Citrix läuft.

Link zu diesem Kommentar

Na der Lancom läuft doch mit LCOS. Da ist eine Firewall mit drin: http://lancom.es/fileadmin/produkte/LCOS/LCOS-DATASHEET-85x-DE.pdf Die nutzt Du, um Deine Netze zu trennen. Das hat mit VLANs nix zu tun.

 

Ich fürchte aber, Dein Know How reicht noch nicht aus, um sowas allein zu planen und umzusetzen. Such Dir entweder einen erfahrenen Kollegen oder einen externen Dienstleister und lerne dabei.

Link zu diesem Kommentar

zum Lancom :

 

mach dir ein Userkonto bei Lancom und check mal die Firmware von deinem Lancom.

Danach hast du durch dieses Konto Zugriff auf die wirklich gute Lancom-Dokumentation und den Lancom-Support.

 

Danach würde ich mir überlegen ob ich den VPN-Zugang nicht auch über den Lancom laufen lasse.

 

 

Der ETH3/ETH4 Trunk bringt dir nichts, da ein ETH-Port am Lancom als 1GBit arbeitet und du diese Bandbreite sicher nicht aus dem Internet ziehst. Den Aufwand kannst du dir also sparen.

 

Die übrigen Trunks halte ich auch für überflüssig, da du keinen lokalen Fileserver aufbauen darfst/willst und alles über die VPN-Leitung auf deinen Citrix läuft.

Bereits gemacht, die 1150 Seite LCOS Anleitung bereits runtergladen und ist am iPad, habe angefangen zu lesen, aber verstehe fast nur Bahnhof. Ich kenne einige Router, und habe schon etliche eingerichtet und auch keine Homenetze nur. Nun ist Lancom wirklich kompliziert, habe sowas eigentlich nicht erwartet.

 

Na der Lancom läuft doch mit LCOS. Da ist eine Firewall mit drin: http://lancom.es/fileadmin/produkte/LCOS/LCOS-DATASHEET-85x-DE.pdf Die nutzt Du, um Deine Netze zu trennen. Das hat mit VLANs nix zu tun.

 

Ich fürchte aber, Dein Know How reicht noch nicht aus, um sowas allein zu planen und umzusetzen. Such Dir entweder einen erfahrenen Kollegen oder einen externen Dienstleister und lerne dabei.

Das mag schon richtig sein. Derjenige der sich damit ausgekannt hat, und dieses Ding gekauft hat, wurde bereits gekündigt. Also müsste man einen externen Dienstleister holen, was eigentlich nicht wirklich erwünscht ist, da es der Wunsch der GF war, mich auszubilden, nur war NICHT abzusehen, dass das Ding nach 1 Monat in der Firma umkonfiguriert werden muss und Netzwerk umgebaut werden muss.

bearbeitet von kosta88
Link zu diesem Kommentar

enstleister holen, was eigentlich nicht wirklich erwünscht ist, da es der Wunsch der GF war, mich auszubilden

Dann sollte die GF für eine Ausbildung sorgen. Das was du hier machst ist jedenfalls keine. ;) Sicher ein gutgemeinter und wünschenswerter Ansatz eines Auszubildenden, aber ich glaube, die wenigsten würden es als verantwortungsvoll dir gegenüber ansehen, wenn deine GF dich in einem Forum solche Sachen klären läßt.

 

Bye

Norbert

Link zu diesem Kommentar

Was willst du denn am Lancom im ersten Step ändern ?

 

was von deiner Skizze ist denn zur Zeit vorhanden ?

 

Welche Vorbildung hast du ?

 

Die Konfiguration bis jetzt war folgende:

DSL Leitung -> Cisco Router vom Provider (hat gedient als UMTS Backup, hat aber nicht richtig funktioniert, daher musste wieder raus und retour an Provider) ->

-> 1x zum LANCOM Router

-> 1x zum VPN Router

Beider Router dann in das selbe Switch.

LANCOM war schon immer Internet-Leitung, hat einiges an Firewall Regeln drin (aber ich kann nicht sagen was welche IP ist, da ich die Netzwerkstruktur weder kenne noch erkennen kann) und hat ein paar Routings drinnen die scheinbar für den VPN-Router waren.

 

Was ich heute mal geschafft habe, ich habe den LANCOM soweit gebracht dass ich konnte das ganze Netzwerk mit Internet wieder speisen. So weit so gut.

 

Das Problem war der VPN Router, der jetzt eben an dem Switch hängt, und wird in dieser Konstellation nicht erreichbar.

Problem1: ich kenne die Konfiguration dieses Routers kaum und die Anforderungen für die Einstellung - eigentlich rege ich mich umsonst auf, ich muss bei die Deutschen anrufen und die müssen mir sagen wie das Ding rennt und wo man es anschliessen sollte. Also die einfachen Infos wie die IP Adresse, damit ich das Subnet weiss, damit ich den LANCOM dort an dem Port eben richtig konfigurieren kann.

Problem2: wenn ich das weiss, muss ich auch wissen wie man die "gewöhnlichen" Sachen, die ich dachte dass ich sie kenne, einstellen kann

 

Von der Skizze her ist an der Hardware alles vorhanden. Sogar wie gesagt ein zusätzlicher Zywall Firewall.

 

Was meine Aufgabe grundsätzlich ist:

- LANCOM als Hauptrouter einrichten und Internet auf das Hauptswitch zu legen - geschafft

- VPN Router an den LANCOM zu verbinden und die erfolgreiche VPN Verbindung und Erreichbarkeit zu haben - to do

- Schulungsnetz prüfen ob dann funktioniert - sollte aber gehen solange ich den Lancom nicht vollständig resette - to do

 

Die neue Skizze zeigt ich mal, das ist der Plan heute nach der Besprechung mit dem GF, er meint wäre besser da wir somit eine physikalische Trennung zwischen VPN Router und Schulungsnetz haben können.

post-68428-0-65125400-1397678673_thumb.jpg

 

Keine Netzwerkausbildung, wenn du das meinst. Alles selber gelernt in den letzten 15 Jahren, wobei ich nie wirklich tief in die Netzwerktechnik eingetaucht bin, da kein wirklicher Bedarf da war.

 

Was willst du denn am Lancom im ersten Step ändern ?

 

was von deiner Skizze ist denn zur Zeit vorhanden ?

 

Welche Vorbildung hast du ?

 

 

Die Konfiguration bis jetzt war folgende:

DSL Leitung -> Cisco Router vom Provider (hat gedient als UMTS Backup, hat aber nicht richtig funktioniert, daher musste wieder raus und retour an Provider) ->

-> 1x zum LANCOM Router

-> 1x zum VPN Router

Beider Router dann in das selbe Switch.

LANCOM war schon immer Internet-Leitung, hat einiges an Firewall Regeln drin (aber ich kann nicht sagen was welche IP ist, da ich die Netzwerkstruktur weder kenne noch erkennen kann) und hat ein paar Routings drinnen die scheinbar für den VPN-Router waren.

 

Was ich heute mal geschafft habe, ich habe den LANCOM soweit gebracht dass ich konnte das ganze Netzwerk mit Internet wieder speisen. So weit so gut.

 

Das Problem war der VPN Router, der jetzt eben an dem Switch hängt, und wird in dieser Konstellation nicht erreichbar.

Problem1: ich kenne die Konfiguration dieses Routers kaum und die Anforderungen für die Einstellung - eigentlich rege ich mich umsonst auf, ich muss bei die Deutschen anrufen und die müssen mir sagen wie das Ding rennt und wo man es anschliessen sollte. Also die einfachen Infos wie die IP Adresse, damit ich das Subnet weiss, damit ich den LANCOM dort an dem Port eben richtig konfigurieren kann.

Problem2: wenn ich das weiss, muss ich auch wissen wie man die "gewöhnlichen" Sachen, die ich dachte dass ich sie kenne, einstellen kann

 

Von der Skizze her ist an der Hardware alles vorhanden. Sogar wie gesagt ein zusätzlicher Zywall Firewall.

 

Was meine Aufgabe grundsätzlich ist:

- LANCOM als Hauptrouter einrichten und Internet auf das Hauptswitch zu legen - geschafft

- VPN Router an den LANCOM zu verbinden und die erfolgreiche VPN Verbindung und Erreichbarkeit zu haben - to do

- Schulungsnetz prüfen ob dann funktioniert - sollte aber gehen solange ich den Lancom nicht vollständig resette - to do

 

Die neue Skizze zeigt ich mal, das ist der Plan heute nach der Besprechung mit dem GF, er meint wäre besser da wir somit eine physikalische Trennung zwischen VPN Router und Schulungsnetz haben können.

 

Dann sollte die GF für eine Ausbildung sorgen. Das was du hier machst ist jedenfalls keine. ;) Sicher ein gutgemeinter und wünschenswerter Ansatz eines Auszubildenden, aber ich glaube, die wenigsten würden es als verantwortungsvoll dir gegenüber ansehen, wenn deine GF dich in einem Forum solche Sachen klären läßt.

 

Bye

Norbert

 

Natürlich, meine Ausbildung fangt eh mit Ende April an, am 22.04. kommen einige Kollegen damit wir mal feststellen "wo" ich bin, damit wir richtig ansetzen können.

Ja komm, natürlich weiss ich dass das hier keine Ausbildung ist!

Ihm ist die Situation bewusst, er WEISS dass ich kein Netzwerk-Techniker bin, aber er möchte mir helfen das zu lernen, und die jetzige Situation ist halt eine Situation, man muss sich damit tragen und sich auf eine oder andere Weise helfen lassen.

bearbeitet von kosta88
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...