magheinz

Und dann gab es die ersten Sicherheitsvorfälle.

Plötzlich wollte keiner mehr ein Netz für alles.

Jetzt haben wir pro Liegenschaft ein VLAN für die Switche, eines für die PCs und demnächst eines für die IP-Telefone.

Die Server sind auch auch in mehrere VLANs verteilt.

Dazu die Gäste-VLANs, das VLAN für die Haustechniker, zwei für die Drucker und eines für die APCs und schon reicht eine Hand nicht mehr zum zählen.

Alleine das hier plötzlich die Broadcastgrenzen da sind reduziert Angriffe und Traffic.

Früher konnte ich auf meinem Switch im Büro den Clusterinterconnect der Novelcluster sehen.

Jetzt denken wir über Microsegmentierung in der virtuellen Umgebung nach.

Das 192.168.0.0/24 fällt einem immer dann auf die Füße wenn man ein VPN zu einem anderen Netz machen muss.

Das heisst ihr habt ein geroutetes Netz, kein geswitchtes Layer3 statt layer2?

Um zu sagen was sinnvoll ist sollte die Ausgangssituation erst mal klar sein.

Das ist ein router, kein switch!

warum Server ohne DHCP - ganz einfach, ich möchte sicherstellen, dass ich bei einem Wiederanlauf die Maschinen wirklich die gleiche IP bekommen. Das würde nicht klappen wenn der DHCP aus irgendwelchen Gründen nicht oder noch nicht verfügbar ist. Ein Drucker ist schnell mal ausgeschaltet und wieder eingeschaltet ... ich möchte aber nicht alle Server wieder neu booten wollen ...

Das ist dann einfach eine Frage des Wiederanlaufkonzeptes.

Bei uns muss als erstes ein Server hochgefahren werden. Der ist dann der erste DC und spielt auch temporär DHCP. Dazu wird der authorisiert und bekommt dann die letzte Sicherung der Datenbank übergeholfen.

Die IPs der Server sind reserviert so das die gleiche Zuordnung gesichert ist.

Was für cisco-switche sind das?

Die neueren catalysten können einen teil des WLAN-controllers als container laufen lassen.

Das Gäste-WLAN in ein eigenen VLAN und dann an der Firewall wieder ausleiten oder auf einen separaten (V)DSL-Anschluss geben.

Ich finde aber DC und Fileserver keine schöne Kombination...

konkret ist der Schirm der ausschlaggebende Punkt. cat6 geschirmt 100m, cat 6 abgeschirmt 15-45meter(meine ich mich zu erinnern). die 90meter kommen weil man bei der klassischen Variante patchkabel-dose-verlegekabel-dose-patchkabel durch die steckverbindungen etwas abziehen muss. Egal wie mans dreht: hier im spezielln Fall sollte es keine Längenprobleme geben. Höchstens bei im DAC, wenn der bevorzugte Hersteller die gewünschte Länge nicht verkauft.

10G Copper ist begrenzt auf etwa 7,5M, abhängig vom Kabel, da darfst du nicht auf den Euro schauen.

 

;)

seit wann?

10GBASE-CX4 = max 15Meter

10GBASE-T = 100Meter(cat6)

DAC-Kabel(cisco twinax, IBM DAC, Flexoptix Twinax) habe ich von 0,5-15 Meter im Einsatz.

Das mit dem Euro stimmt aber...

und wie schnell sind die clients angebunden? Gigabit oder Fastethernet oder ganz anders?

Wozu das 10GB-Team wenn du nur auf einen switch gehst?

Wie viele clients greifen denn mit welcher Geschwindigkeit auf den Server zu?

eben. und sowas ist der ideale Zeitpunkt. In erster Näherung hst sch die Separierung in Server, clients, telefone, Drucker und sonstiges bewährt. da macht man ein schönes Konzept und los gehts. Geräte die kein DGW können sind mir noch nicht untergekommen.

ich würde ja eher schauen ob man das Netz nicht segmentieren kann ind VLANs einführen.

Meistens will man ja eigentlich deutlich mehr überwachen: Speicherplatz, Netzwerkports, Patchstände, Performancewerte, etc.

Da ist ein Blick auf Software wie icinga2 durchaus sinnvoll.

Das wäre ein Vorhaben welches wir zutiefst ablehnen. Das Firmenlan mit einem nicht von uns kontrollierten privaten LAN zu verbinden sollte einfach verboten sein.

Zu Hause hat auch niemand Daten zu haben welche er in der Firma braucht. Alleine das Thema Backup ist ein Grund. Der Datenschutz, je nach Daten um die es geht, am Ende sogar ein Kündigungsgrund.

Für das Arbeiten von zu Hause gibt es Notebooks und Terminalserver/VDI.

Es gibt für so etwas extra Dateisysteme. AFS, coda, GlusterFS, HDFS, OCFS2, GFS, etc. Welches davon aber unter Windows als Server läuft: keine Ahnung. Aber unter Umständen muss man halt feststellen das Windows die Anforderungen nicht erfüllt.

Das geht ja auch dann bei NFS: https://library.netapp.com/ecm/ecm_download_file/ECMP1401193

Load balancing in multimode interface groups

You can ensure that all interfaces of a multimode interface group are equally utilized for outgoing

traffic by using the IP address, MAC address, round-robin, or port-based load balancing methods to

distribute network traffic equally over the network ports of a multimode interface group.

The load balancing method for a multimode interface group can be specified only when the interface

group is created

wer sich ne netapp fas leistet, der sollte nicht am LACP scheitern.

ist bei iscsi das gleiche. wenns die Lizenzen zulassen würde ich aber wh NFS machen...

was die performance angeht, das kommt auf den raidcontroller an. beim raid1 wirds halt dunkel wenns die zwei falschen sind.

bei raid1 fallen zwar gleich viele Platten für die Redundanz weg, es darf aber trotzdem nur eine ausfallen. Der Vorteil von RAID6 ist die höhere Verdügbarkeit und nicht die Performance. und wann fällt die zweite Platte aus: dann wenn sie mal richtig gefordert wird, beim rebuild.

Das ist eine Frage der Anforderungen. Du erkaufst sir das "viel schneller" mit "viel mehr Risiko". Da musst du halt wissen ob das in deinem Umfeld ok ist. Kannst du dein "viel langsmaer" in Zahlen ausdrücken oder ist das nur so ein Gefühl?

also auf die zweite Parität vom RAID6 hätte ich ja nicht verzichtet. Hast du mal einen RAID-rebuild versucht und die Zeit gemessen die du jetzt dann ohne Absicherung das System fahren musst? Ich kann dir sagen: mir wäre das zu lange...

bei Meraki wäre ich vorsichtig. Ohne cloud sind die Geräte nicht funkionabel. Wir haben rukus und cisco im Einsatz. 1200Mbit.Elan mit einem 1GE POE-Port sind halt nicht voll nutzbar und nicht Zukunftsfähig. Die wafe2-APs haben Multigigabit-Ports. Stehen die switche schon fest? die cisco catalysten der 3850 und ähnliche haben den Vorteil das sie einen Teil der controller-Infrastruktur übernehmen können.

1200Mvit wlan sind z.b. auch recht sinnlos wenn der controller nur über 1gb angebunden ist.

mdt nehmen. das hat recht wenig mit der anzahl der rechner zu tun. meiner meinung nach braucht man aber auch hierbei die VL. Oder gleich richtif und sowas wie OPSI nehmen. bei 12 rechnern würde ich das auf jesen Fall machen.

Das Problem ist das Behörden etc gerne anders herum an die Sache herangehen: Die haben eine 5er Stelle im Haushalt und drehen jetzt alles so das es passt. Die Frage ist ob die höherwertige Aufgaben angewiesen wurde. Das musst du im Fall der Fälle beweisen. Dann musst du die Eingruppierungsmerkmale (Selbstständigkeit, Verantwortung etc) nachweisen. Schaffst du das stellt der Richter fest das du in der beantragten EG bist. Wie das dein Arbeitgeber dann in seinem Haushalt regelt interessiert das Arbeitsrecht nicht. Mag aber sein das die dann andere Aufgaben zugewiesen werden.

Das alles unter EG6 falsch ist steht dann noch mal auf einem anderen Stern. Allerdings gilt das für den Bund!

Welche Eingruppierungsrichtlinien für Kommunen in Bayern gelten weiss ich nicht.

Die Stellenanzeige ist uninteressant. Du musst ja angewiesene Tätigkeiten haben. Entweder per Arbeitsvertrag oder durch Vorgesetzte. Bei der nächsten Anweisung einfach per E-Mail fragen: "ist das jetzt angeweisen oder nicht?" Dann sammelt sich ja langsam eine Tätigkeitsdarstellung. Jedes mal wenn da eine neue Anweisung für eine dauerhafte Tätigkeit: "Administrier mal Exchange" kommt, diese Tätigkeitsdarstellung anpassen lassen. Dazu muss diese Tätigkeit in Zeitanteilen und in Entgeltgruppe beschrieben werden.