Metainformationen zur Seite
Dies ist eine alte Version des Dokuments!
Netzwerkstruktur
Problem
Rechtlich ist eine bayerische Schule gezwungen, mindestens das Verwaltungsnetz und das pädagogische Netz getrennt zu halten (OSI-Layer 2 und 3). Arbeitet man außerdem mit WLAN und einem Computerraum, so ist es attraktiv gleich mehr getrennte Netze zu verwalten. Muss ein Client in demselben Netz wie der Server sein, den ansprechen will? In der Regel nicht!
Idee
Wir betreiben hauptsächlich:
- VerwaltungsLAN
- KlassenzimmerLAN, digitale Tafeln
- SchulkinderWLAN, auch Gäste
- LehrkräfteLAN
- LehrkräfteWLAN
- Computerraum
Die Netze dürfen über eine Firewall bzw. einen Proxy tw. eingeschränkt auf das Internet zugreifen.
Die Kommunikation der Netze untereinander ist nur über die Firewall möglich und entsprechend sparsam erlaubt.
Realisierung
Layer 2 - Ethernet
Diese Netzwerkanzahl realisiert man in den Switchen mit VLANs, so dass die Verbindung der Switche untereinander („Backbone“) einfach bleibt (i.d.R. eine Glasfaserverbindung), über dieser aber alle Netze getrennt transportiert werden („Trunk“).
Die Ports, an denen die Rechner angeschlossen sind, werden dabei fest den verschiedenen VLANs zugeordnet. VLANs haben jeweils eine ID / Nummer. Bei uns z.B. 10,15,20,25,40,45 usw.
Layer 3 - IP
Jedes VLAN muss einen eigenen IP-Nummernkreis aus dem Bereich der privaten IP-Adressen haben. Man behält den Überblick leichter, wenn die VLAN-Nummern und die IP-Kreise korreliert sind. Da wir beim WLAN langfristig auch mit mehr als 254 angemeldeten Geräten (selbst, wenn sie nur in der Hosentasche stecken) rechnen müssen, kommen /24-Netze 1) nicht in Frage. Wir benötigen zwar keine /16 Netze (über 60000 Geräte möglich), können aber in diesen Stufen einfacher strukturieren und beschränken uns auf /20-Netze2):
- VLAN 10: IP 10.10.0.0/20 - KlassenzimmerLAN
- VLAN 15: IP 10.15.0.0/20 - Schüler-WLAN
usw.
Die Firewall
… muss alle einzelnen Netze mit DHCP, DNS, NTP usw. versorgen (Ausnahme: wenn wir ein Windowsnetzwerk mit Domänencontroller hätten). Sie muss die gewünschten Verbindungen zulassen 3) und alle anderen sperren. Dazu hat die Firewall in jedem Netz eine IP-Adresse (10.x.0.1 oder 10.x.0.254) und gibt diese per DHCP den Clients als Gateway bekannt.
Test
Kann man, z.B. mit per Hand gesetzter IP-Adresse, fälschlicherweise ein fremdes LAN erreichen?