Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
netzwerkstruktur [2020/05/10 17:49] – [Problem] cbnetzwerkstruktur [2020/12/13 19:19] – [Realisierung] cb
Zeile 19: Zeile 19:
  
 Die Ports, an denen die Rechner angeschlossen sind, werden dabei fest den verschiedenen VLANs zugeordnet. VLANs haben jeweils eine ID / Nummer. Bei uns z.B. 10,15,20,25,40,45 usw. Die Ports, an denen die Rechner angeschlossen sind, werden dabei fest den verschiedenen VLANs zugeordnet. VLANs haben jeweils eine ID / Nummer. Bei uns z.B. 10,15,20,25,40,45 usw.
-==Layer 3 - IP==+==Layer 3 - IP-Adressbereiche Teil 1 (unser aktueller Stand)==
 Jedes VLAN muss einen eigenen IP-Nummernkreis aus dem Bereich der [[https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche|privaten IP-Adressen]] haben. Man behält den Überblick leichter, wenn die VLAN-Nummern und die IP-Kreise korreliert sind. Da wir beim WLAN langfristig auch mit mehr als 254 angemeldeten Geräten (selbst, wenn sie nur in der Hosentasche stecken) rechnen müssen, kommen /24-Netze Jedes VLAN muss einen eigenen IP-Nummernkreis aus dem Bereich der [[https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche|privaten IP-Adressen]] haben. Man behält den Überblick leichter, wenn die VLAN-Nummern und die IP-Kreise korreliert sind. Da wir beim WLAN langfristig auch mit mehr als 254 angemeldeten Geräten (selbst, wenn sie nur in der Hosentasche stecken) rechnen müssen, kommen /24-Netze
 ((Ein /24-Netz bedeutet, dass die ersten 24 Bit der IP-Adresse als Netznummer gelten, die restlichen 8 Bit sind dann die Hostnummer. Abziehen muss man die Nummern mit komplett gesetzten bzw. gelöschten Bits: 255 als Broadcastadresse und 0 Netzwerkadresse. Somit gibt es in einem /24-Netz genau 2^(32-24)-2=254 Hosts.))  ((Ein /24-Netz bedeutet, dass die ersten 24 Bit der IP-Adresse als Netznummer gelten, die restlichen 8 Bit sind dann die Hostnummer. Abziehen muss man die Nummern mit komplett gesetzten bzw. gelöschten Bits: 255 als Broadcastadresse und 0 Netzwerkadresse. Somit gibt es in einem /24-Netz genau 2^(32-24)-2=254 Hosts.)) 
-nicht in Frage. Wir benötigen zwar  keine /16 Netze (über 60000 Geräte möglich), können aber in diesen Stufen einfacher strukturieren und beschränken uns auf /20-Netze((mit über 4000 möglichen Hosts)):+nicht in Frage. Wir benötigen zwar  keine /16 Netze (über 60000 Geräte möglich), können aber in diesen Stufen einfacher strukturieren und beschränken uns auf /20-Netze((mit über 4000 möglichen Hosts)). ****:
   * VLAN **10**: IP 10.**10**.0.0/20 - KlassenzimmerLAN   * VLAN **10**: IP 10.**10**.0.0/20 - KlassenzimmerLAN
   * VLAN **15**: IP 10.**15**.0.0/20 - Schüler-WLAN   * VLAN **15**: IP 10.**15**.0.0/20 - Schüler-WLAN
 usw. usw.
 +  * VLAN **70**: IP 10.**70**.0.0/20 - Verwaltung
 +
 +==Layer 3 - IP-Adressbereiche Teil 2 (Alternative)==
 +Sollten die IP-Adressbereich von außen (-> Sachaufwandsträger, also Schulgebäudeeigentümer) vorgegeben sein und der Schule nur 16Bit lassen, so könnte folgende Struktur erfolgreich sein:
 +  * Für die meisten Netze (bis ca. 250 Hosts) : 
 +    * 10.Schulnummer.VLAN.Host /24
 +    * mit VLANs in Einserabständen
 +  * Für das WLAN oder andere Netze mit deutlich mehr Adressbedarf (gut 4000 Adressen):
 +    * 10.Schulnummer.VLANXXL.x /20
 +    * mit einem VLANXXL als Vielfaches von 16
 +    * das nächste VLAN muss um 16 größer als dieses sein
 +  * Wenn man außerdem eine Trennung der Verantwortlichkeiten (z.B. wg. externem Dienstleister in der Verwaltung) anstrebt, kann man den Bereich bei x.y.128.0 splitten, was das Routing zwischen den Verantwortungsbereichen erleichtert. Ein Vorschlag könnte dann sein (mit Schulnummer 123):
 +  * 10.123.1.0/24 Managementnetzwerk
 +  * 10.123.2.0/24 Klassenzimmer
 +  * 10.123.3.0/24 Computerraum 
 +  * usw.
 +  * 10.123.16.0/20 WLAN allgemein
 +  * 10.123.32.0/20 WLAN Lehrkräfte
 +  * 10.123.128.0/24 WLAN Verwaltungsrechner
 +  * 10.123.129.0/24 WLAN Verwaltungsserver usw.
  
 ==Die Firewall== ==Die Firewall==
Zeile 31: Zeile 51:
 Sie muss die gewünschten Verbindungen zulassen ((z.B. LehrkräfteWLAN dürfen Drucker im LehrkräfteLAN benutzen, beide dürfen über die wenigen notwendigen Ports auf die Mailserver des Mailproviders zugreifen)) und alle anderen sperren. Sie muss die gewünschten Verbindungen zulassen ((z.B. LehrkräfteWLAN dürfen Drucker im LehrkräfteLAN benutzen, beide dürfen über die wenigen notwendigen Ports auf die Mailserver des Mailproviders zugreifen)) und alle anderen sperren.
 Dazu hat die Firewall in jedem Netz eine IP-Adresse (10.x.0.1 oder 10.x.0.254) und gibt diese per DHCP den Clients als Gateway bekannt. Dazu hat die Firewall in jedem Netz eine IP-Adresse (10.x.0.1 oder 10.x.0.254) und gibt diese per DHCP den Clients als Gateway bekannt.
 +
 +==Routing==
 +... (also das Weiterleiten legitimer IP-Pakete in andere Netze) kann man natürlich auch Layer-3-Switchen überlassen - daher deren Name. Die Firewall kann trotzdem die restlichen Dienste anbieten, darf aber in den betroffenen Netzen nicht mehr das Standardgateway sein. Komplexe Filter realisiert man damit nicht, aber die sollten an einer Schule i.d.R. nicht nötig sein. Diese Switche können dafür 10GBit problemlos routen, ohne dass man eine restlos überteuerte Firewall mit 10GBit-Interface beschaffen muss.
 ====Test==== ====Test====
 Kann man, z.B. mit per Hand gesetzter IP-Adresse, fälschlicherweise ein fremdes LAN erreichen? Kann man, z.B. mit per Hand gesetzter IP-Adresse, fälschlicherweise ein fremdes LAN erreichen?
  
-{{tag>Firewall VLAN Netzwerktrennung}}+{{tag>Firewall VLAN Netzwerktrennung Verwaltungsnetz pädagogisches-Netz}}