Jump to content

Netzwerkplanung - Hilfe und Kritik gesucht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

So, nach ner längeren Pause meld ich mich wieder mal hier im Board:

 

 

Mein Heimnetz steht zur Renovierung an, da es im Moment ziemlich instabil läuft, viel notdürftig zusammengeflickt ist, usw.

Ich hab vor, Tabula Rasa zu machen und so ziemlich alles neu zu gestalten. Damit es nicht wieder so endet, wie das jetzige, mag ich es gründlich planen und vorbereiten.

Da ich in ne Informatikschule (3. Klasse HTL, das ist in Deutschland - *überleg* - die 11. Schulstufe) gehe, und Windows-Netzwerke das Thema von nem nächsten gröberen Projekt ist, passt das eh.

 

Ich hab mal nen Plan gemacht, wie ich mir das Ergebnis vorstell:

 

meinnetzwerk2803050wc.th.gif

 

Hab mich in den letzten Tagen in das Thema tiefer eingelesen, mir ein paar MS-Webcasts angeschaut (kann ich sehr empfehlen).

 

Hab zu der Zeichnung ein paar Fragen:

 

- Macht es Sinn, das WLAN in ein eigenes Netz zu legen? Funktioniert das überhaupt, wenn der DC in nem andren Netz ist?

- Soll der Exchange ein 2. Domänencontroller sein (Ausfallsicherheit) oder nicht?

- Soll der Exchange ein 2. DNS-Server sein?

- Soll der DHCP-Server auf dem ISA laufen oder auf dem DC? Wenn auf dem DC, kann der dann auch das 1er-Netz bedienen?

 

- Würd auch generell gerne eure Meinung zu dem Aufbau hören.

 

Es mag schon sein, dass der Aufbau für die größe vom Netzwerk ein Overkill ist, aber ich mag dabei hauptsächlich was lernen

 

Würde mich über Antworten freuen,

 

Götzi

Link zu diesem Kommentar

Das WLAN hängt komplett im anderen Netz. (siehe Zeichnung). Der ISA-Server ist dann praktisch die "Vermittlung" zwischen den ganzen Netzen.

Weiß also nicht, was du mit deinem Posting meinst.

 

Wegen meiner DHCP-Frage: Hab mich noch weiter erkundigt und der DHCP-Server kann ja nur Clients bedienen, die im selben Subnetz liegen. Also müsste der DHCP-Server auf dem ISA laufen. Ist dagegen was einzuwenden?

 

Ich weiß, dass das alles ziemlich theoretisch ist und für das Netz viel zu genau/groß, aber ich mags hauptsächlich zu Lernzwecken machen.

Link zu diesem Kommentar

hm. obwohl es natürlich sinn macht, würde ich den exchange vom dc nicht trennen. verwende das hier (wg. hardwarekosten sowie lizenzkosten) und habe noch nie probleme gehabt weil das auf einem rechner liegt. natürlich sollte der server entsprechend ausgelegt sein und entsprechende service-veträge haben.

 

backup würde ich nicht via client fahren sondern direkt am server.

 

die drucker kannst du auch via print-server (mit ethernet-interface) anbinden: weniger strom, keine 2003-lizenz, keine serverhardware notwendig.

 

internet-gateway würde ich nicht unbedingt auf isa aufbauen sondern lieber mit einer hardwarefirewall davor und evtl. linux dahinter (auch wenns komplizierter erscheint - ist es nicht).

 

das wlan in ein eigenes segment kann grundsätzlich keine sicherheit bieten sondern eben nur mehr routing als notwendig. sinnvoll könnte es sein, das nicht direkt ins netz zu hängen sondern über ein eigenens interface an der firewall zu betreiben. wobei ich den vorteil hier nicht sehe da ja die notebooks auch im ad hängen sollen (wie es scheint). besser ist es hier viel eher einen access point zu kaufen der WPA unterstützt und zusätzlich nur vpn-connections mit server/client-zertifikat verwendet. oder gleich an einem radius server authentifiziert. schau dir mal linksys an - irgendwie cisco-derivat oder so, sehr mächtig, sehr günstig. da kriegst du eben beschriebene lösung um ~100€ und dann pro jahr 20€ für die zertifikats-sache - kannst aber ruhig schlafen.

 

lg,

os

Link zu diesem Kommentar

Hi,

 

danke für die Anteilnahme an der Diskussion :thumb1: .

 

Möchte aber mal was hervorheben:

Wie schon geschrieben, mach ich das zu Lernzwecken, bin Schüler, hab also praktisch kein Geld. Die Lizenzen bekomme ich von der Schule (haben wohl irgend so nen Schul-Lizenzpack o.ä.). Ich weiß nicht, ob das in der Lizenz vorgesehen ist, aber der Lehrer hat gemeint, er vertraut mir, dass ich nichts damit "anstell".

Ich kann/möchte also nicht groß was kaufen, weil ich das nicht wirklich produktiv einsetzen werde (OK, für die Familie, aber das bringt mir ja kein Geld).

Und wie schon geschrieben mag ich das alles mit MS-Mitteln machen, da ein kommendes Projekt damit zu tun hat.

 

Ok, jetzt zum eigentlichen Thema:

- Ist die Verteilung der Dienste OK? Ich hab mir gedacht, dass ich den Exchange alleine auf ner Maschine laufen lasse, da er ja ziemlich "ressourcenfressend" ist (RAM). Allerdings hab ich in der jetzigen Zeichnung den WSUS-Server noch drauf, weil ich den DC nicht zu sehr belasten will.

 

- Wegen Redundanz von DC und DNS-Server: In so einem kleinen Netz macht das ja nicht wirklich Sinn oder doch? Weil angenommen, der Haupt-DC fällt aus, könnten die User dann ja immer noch arbeiten (natürlich nur sehr beschränkt, weil die Profile ja auf dem Server liegen). Außerdem könnte ich mich dann mit der Replikation usw beschäftigen, aber ich kann das noch nicht beurteilen, ob das nötig/sinnvoll ist.

 

- Zu WLAN im eigenen Netz: Das ist auch nur zu Lernzwecken, um mich mit dem ISA-Server zu beschäftigen. Soll wie ne DMZ sein, nur aus Computer/Server-Mangel nehm ich halt das WLAN dafür her. Ne andere Überlegung ist, dass wenn jemand ins WLAN eindringt, er dann nicht ins restliche Netz kommen kann. Das ist natürlich unwahrscheinlich, vor allem weil ich ja WPA einsetze, aber mal zum Testen.

 

Nochmal: Ist alles zu Lern/Übungszwecken, also müsst ihr nicht wieder Links zu Hardware posten und mir Empfehlungen in die Richtung geben ;)

 

Götzi

Link zu diesem Kommentar
Hi,

Ich hab mir gedacht, dass ich den Exchange alleine auf ner Maschine laufen lasse, da er ja ziemlich "ressourcenfressend" ist (RAM). Allerdings hab ich in der jetzigen Zeichnung den WSUS-Server noch drauf, weil ich den DC nicht zu sehr belasten will.

 

Naja, kommt drauf an welche HArdware du dahinter steckst. Hier fährt ein Dell Xeon mit 2,4 (oder waren es mehr?) Ghz und 1024 Mb RAM. Für momentan rund 100 Mitarbeiter die aber nie gleichzeitig online gehen. Überhaupt kein Problem (mit Überhaupt mein ich, dass es wirklich überhaupt kein problem ist *G*).

 

- Wegen Redundanz von DC und DNS-Server: In so einem kleinen Netz macht das ja nicht wirklich Sinn oder doch? Weil angenommen, der Haupt-DC fällt aus, könnten die User dann ja immer noch arbeiten (natürlich nur sehr beschränkt, weil die Profile ja auf dem Server liegen). Außerdem könnte ich mich dann mit der Replikation usw beschäftigen, aber ich kann das noch nicht beurteilen, ob das nötig/sinnvoll ist.

 

Natürlich sind zwei DC's als Backup-System interessant. Nur musst du auch bedenken dass zwei System mehr arbeit bedeutet (wartung, einstellungen, installation, patches). Du könntest die Datensicherung ja z.B. per externer Festplatte und Image machen (das überlege ich mir hier gerade) - wenn das defekt geht einfach image neu einspielen und das system lebt wieder wie vorher (idente hardware vorausgesetzt).

 

- Zu WLAN im eigenen Netz: Das ist auch nur zu Lernzwecken, um mich mit dem ISA-Server zu beschäftigen. Soll wie ne DMZ sein, nur aus Computer/Server-Mangel nehm ich halt das WLAN dafür her. Ne andere Überlegung ist, dass wenn jemand ins WLAN eindringt, er dann nicht ins restliche Netz kommen kann. Das ist natürlich unwahrscheinlich, vor allem weil ich ja WPA einsetze, aber mal zum Testen.

 

Also ich würde WPA nicht als letzte Sicherheit nehmen. Bei WEP hat sich gezeigt, was dann passiert ist. Die einzige vernünftige Variante (vor allem bei sensiblen Daten) wird wohl VPN sein und hierbei am besten mit Client/Serverzertifikaten - mehr Sicherheit ums gleiche Geld wirds kaum geben.

 

Aber wenn jemand einbricht, hat er dein ganzes Netz vor dir. Weil, wenn die user per wlan arbeiten sollten, musst du auch dem ISA-Server entsprechend sagen was er routen soll, ergo werden die Angreifer-Packete auch geroutet...

 

Nochmal: Ist alles zu Lern/Übungszwecken, also müsst ihr nicht wieder Links zu Hardware posten und mir Empfehlungen in die Richtung geben ;)

 

Na hoffentlich bringts dich weiter... ;o)

 

Lg,

os

Link zu diesem Kommentar

Hiho,

Wegen meiner DHCP-Frage: Hab mich noch weiter erkundigt und der DHCP-Server kann ja nur Clients bedienen, die im selben Subnetz liegen. Also müsste der DHCP-Server auf dem ISA laufen. Ist dagegen was einzuwenden?

ich würde ihn da nicht hinpacken, sondern auf der Netzwerkkarte des ISA zum WLAN einen DHCP-Relay-Agent packen.

@randy

ja schon klar, aber warum hängt das ganze w-lan zeug in einem eigenen segment

Aus Sicherheitsgründen?

 

Gruß Guido

Link zu diesem Kommentar
Naja, kommt drauf an welche HArdware du dahinter steckst. Hier fährt ein Dell Xeon mit 2,4 (oder waren es mehr?) Ghz und 1024 Mb RAM. Für momentan rund 100 Mitarbeiter die aber nie gleichzeitig online gehen. Überhaupt kein Problem (mit Überhaupt mein ich, dass es wirklich überhaupt kein problem ist *G*).

 

Es steht in der Zeichnung, was für Hardware es ist. Und nochmal: Es ist ein Übungsheimnetzwerk von nem Schüler, also nix Dual Xeon :p

 

Wegen meiner DHCP-Frage: Hab mich noch weiter erkundigt und der DHCP-Server kann ja nur Clients bedienen, die im selben Subnetz liegen. Also müsste der DHCP-Server auf dem ISA laufen. Ist dagegen was einzuwenden?
ich würde ihn da nicht hinpacken, sondern auf der Netzwerkkarte des ISA zum WLAN einen DHCP-Relay-Agent packen.

Warum nicht auf den ISA? Ist das sicherheitstechnisch nicht gut, oder andere Gründe? Und wegen DHCP-Relay-Agent: Hab ich noch nie was davon gehört :shock: . Ist das einfach ein Dienst, der DHCP-Verkehr in andere Subnetze leitet?

 

Also ich würde WPA nicht als letzte Sicherheit nehmen. Bei WEP hat sich gezeigt, was dann passiert ist. Die einzige vernünftige Variante (vor allem bei sensiblen Daten) wird wohl VPN sein und hierbei am besten mit Client/Serverzertifikaten - mehr Sicherheit ums gleiche Geld wirds kaum geben.

Dass WEP schon lange geknackt ist, ist mir klar, aber WPA gilt doch allgemein als ziemlich sicher? Wie würde das mit dem VPN dann genau ausschauen?

 

Aber wenn jemand einbricht, hat er dein ganzes Netz vor dir. Weil, wenn die user per wlan arbeiten sollten, musst du auch dem ISA-Server entsprechend sagen was er routen soll, ergo werden die Angreifer-Packete auch geroutet...

Hm, das erscheint mir sinnvoll. Versteh ich das richtig: Falls ich es per VPN mach, ist da die Wahrscheinlichkeit, dass einer Einbricht viel geringer als WPA?

 

Na hoffentlich bringts dich weiter... ;o)

Auf jeden Fall! Ich finds echt super, wie hier geholfen wird! :jau: :thumb1:

Link zu diesem Kommentar

hardware: ich meinte ja nur, dass du entscheiden kannst ob du exchange und dc trennst wenn du weißt, welche hardware eingesetzt wird. bei 1ghz nd 512mb ram teile es, bei 2,5ghz und 1024mb ram kombiniere es und spare zeit,etc.

 

Ob WPA sicher ist will ich nicht kommentieren. Sicherer als WEP allemal, ich glaube das aber dass man, um wirkliche Sicherheit zu simulieren (weil garantieren kannst dus ja nicht) musst du das kombinieren:

 

- wpa (damit dein netzverkehr mal safe ist)

- vpn (damit deine nutzdaten sicher sind)

- client/server-zertifikate (damit man auch mit einem 'vpn-password' nix machen kann).

 

stell dir das wie eine zwiebel vor. wenn jemand wpa hackt, muss er immer noch das vpn hacken damit er deine daten hat. dafür muss er ein zertifikat fälschen, etc. also ganz so einfach ist es dann nicht mehr. und wer das schafft, hats verdient (persönliche meinung).

 

lg,

os

Link zu diesem Kommentar

VPN: Alles klar.

 

DHCP-Relay soweit ich weiß:

 

Du hast z.B. 192.168.2.0/24 und einen dhcp-server mit 192.168.2.1. Der beantwortet alle Anfragen aus dem entsprechenden .2-Subnet.

 

Wenn du jetzt via Routing weitere Subnetze anhängst, z.B. 192.168.3.0/24 wollen die auch dhcp-adressen haben. Entweder du stellst einen weiteren dhcp-server z.B. mit 192.168.3.1 für das .3-Subnet auf oder machst einen Relay-Agent der im Prinzip die Anfragen auf 192.168.2.1 (erster dhcp-server) weiterleitet und wiederum die Antwort an die clients gibt.

 

lg,

os

Link zu diesem Kommentar

Grundsätzlich nix, nur, dass du den ISA quasi als ersten Point in deinem Netzwerk von außen erreichbar hast. Ich glaube, dass MS-Produkte für das Backoffice genial sind aber nicht tauglich sind um sie direkt ans Internet anzubinden. Da gehört ne gute Hardware-Firewall und dahinter noch ne Linux-Kiste hin!

 

Aber an sich kein Problem (jetzt von der Struktur her; der ISA muss dass halt Software-technisch auf die Reihe kriegen).

 

lg,

os

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...