Metainformationen zur Seite
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
netzwerkstruktur [2020/12/13 18:44] – [Realisierung] cb | netzwerkstruktur [2021/01/25 17:42] (aktuell) – [Die Firewall] cb | ||
---|---|---|---|
Zeile 2: | Zeile 2: | ||
====Problem==== | ====Problem==== | ||
Rechtlich ist eine bayerische Schule gezwungen, mindestens das Verwaltungsnetz und das pädagogische Netz getrennt zu halten (OSI-Layer 2 und 3). | Rechtlich ist eine bayerische Schule gezwungen, mindestens das Verwaltungsnetz und das pädagogische Netz getrennt zu halten (OSI-Layer 2 und 3). | ||
- | Arbeitet man außerdem mit WLAN und einem Computerraum, | + | Arbeitet man außerdem mit WLAN und einem Computerraum, |
====Idee==== | ====Idee==== | ||
Wir betreiben hauptsächlich: | Wir betreiben hauptsächlich: | ||
Zeile 15: | Zeile 15: | ||
Die Kommunikation der Netze untereinander ist nur über die Firewall möglich und entsprechend sparsam erlaubt. | Die Kommunikation der Netze untereinander ist nur über die Firewall möglich und entsprechend sparsam erlaubt. | ||
====Realisierung==== | ====Realisierung==== | ||
- | ==Layer 2 - Ethernet== | + | ===Layer 2 - Ethernet=== |
- | Diese Netzwerkanzahl realisiert man in den Switchen mit [[VLAN]]s, so dass die Verbindung der Switche untereinander (" | + | Diese Netzwerkanzahl realisiert man in den Switchen mit [[VLAN]]s, so dass die Verbindung der Switche untereinander (" |
- | Die Ports, an denen die Rechner angeschlossen sind, werden dabei fest den verschiedenen VLANs zugeordnet. VLANs haben jeweils eine ID / Nummer. Bei uns z.B. 10, | + | Die Ports, an denen die Rechner angeschlossen sind, werden dabei fest den verschiedenen VLANs zugeordnet. VLANs haben jeweils eine ID / Nummer. Bei uns z.B. 10, 15, 20, 25, 40, 45 usw. |
- | ==Layer 3 - IP== | + | ===Layer 3 - IP-Adressbereiche Variante 1 (unser aktueller Stand)=== |
Jedes VLAN muss einen eigenen IP-Nummernkreis aus dem Bereich der [[https:// | Jedes VLAN muss einen eigenen IP-Nummernkreis aus dem Bereich der [[https:// | ||
((Ein /24-Netz bedeutet, dass die ersten 24 Bit der IP-Adresse als Netznummer gelten, die restlichen 8 Bit sind dann die Hostnummer. Abziehen muss man die Nummern mit komplett gesetzten bzw. gelöschten Bits: 255 als Broadcastadresse und 0 Netzwerkadresse. Somit gibt es in einem /24-Netz genau 2^(32-24)-2=254 Hosts.)) | ((Ein /24-Netz bedeutet, dass die ersten 24 Bit der IP-Adresse als Netznummer gelten, die restlichen 8 Bit sind dann die Hostnummer. Abziehen muss man die Nummern mit komplett gesetzten bzw. gelöschten Bits: 255 als Broadcastadresse und 0 Netzwerkadresse. Somit gibt es in einem /24-Netz genau 2^(32-24)-2=254 Hosts.)) | ||
- | nicht in Frage. Wir benötigen zwar keine /16 Netze (über | + | nicht in Frage. Wir benötigen zwar keine /16 Netze ((über |
+ | | ||
+ | | ||
+ | Real im Einsatz: | ||
* VLAN **10**: IP 10.**10**.0.0/ | * VLAN **10**: IP 10.**10**.0.0/ | ||
* VLAN **15**: IP 10.**15**.0.0/ | * VLAN **15**: IP 10.**15**.0.0/ | ||
- | usw. | + | usw. Etwas getrennt mit v>64 die nicht-pädagogischen Bereiche: |
* VLAN **70**: IP 10.**70**.0.0/ | * VLAN **70**: IP 10.**70**.0.0/ | ||
- | Anmerkung: Sollten die IP-Adressbereich von außen (-> Sachaufwandsträger, | + | ===Layer 3 - IP-Adressbereiche Variante 2=== |
- | * Für die meisten Netze (bis ca. 250 Hosts) : | + | Evtl. ist der IP-Adressbereich von außen (-> Sachaufwandsträger, |
- | * 10.Schulnummer.VLAN.Host /24 | + | *s=Schulnummer, Niederlassungsnummer |
- | * mit VLANs in Einserabständen | + | *v=VLAN-Nummer (dazu unten mehr) |
- | * Für das WLAN oder andere Netze mit deutlich mehr Adressbedarf: | + | *h=Hostnummer (so erst einmal nur 254 mögliche Rechner im Netz) |
- | * 10.Schulnummer.bigVLAN.x /20 | + | Dann sollte |
- | * mit einem bigVLAN als Vielfaches von 16 | + | * Für die meisten Netze (je bis ca. 250 Hosts) |
- | * das nächste VLAN muss um 16 größer als dieses sein | + | * Bsp.: **Host-**Adressen 10.123.3.1 bis 10.123.3.254 |
- | * Wenn man außerdem eine Trennung der Verantwortlichkeiten (z.B. wg. externem Dienstleister in der Verwaltung) anstrebt, kann man den Bereich bei 64 splitten: | + | * Mögliche |
- | ==Die Firewall== | + | * Für das WLAN oder andere Netze mit deutlich mehr Adressbedarf |
- | ... muss alle einzelnen Netze mit DHCP, DNS, NTP usw. versorgen (Ausnahme: | + | * 10.Schulnummer.VLANXXL.0/20 |
+ | * **Host-**Adressen z.B. 10.123.16.1 bis 10.123.31.254 ((es werden also 4 Bits des VLANXXL für die Hostadressen mitgenommen)) | ||
+ | * Anforderungen an VLANXXL: | ||
+ | * es muss ein ganzzahliges | ||
+ | * das nächste VLAN muss (mindestens) | ||
+ | * Wenn man außerdem eine Trennung der Verantwortlichkeiten (z.B. wg. externem Dienstleister in der Verwaltung) anstrebt, kann man den Bereich bei 10.s.128.0 halbieren, was das Routing zwischen den Verantwortungsbereichen erleichtert. | ||
+ | * Ein **Vorschlag** könnte daher sein (mit Schulnummer 123): | ||
+ | * 10.123.1.0/ | ||
+ | * 10.123.2.0/ | ||
+ | * 10.123.3.0/ | ||
+ | * usw. | ||
+ | * 10.123.16.0/ | ||
+ | * 10.123.32.0/ | ||
+ | * 10.123.128.0/ | ||
+ | * 10.123.129.0/ | ||
+ | |||
+ | ===Die Firewall=== | ||
+ | ... muss alle einzelnen Netze mit DHCP, DNS, NTP usw. versorgen (Ausnahme: | ||
Sie muss die gewünschten Verbindungen zulassen ((z.B. LehrkräfteWLAN dürfen Drucker im LehrkräfteLAN benutzen, beide dürfen über die wenigen notwendigen Ports auf die Mailserver des Mailproviders zugreifen)) und alle anderen sperren. | Sie muss die gewünschten Verbindungen zulassen ((z.B. LehrkräfteWLAN dürfen Drucker im LehrkräfteLAN benutzen, beide dürfen über die wenigen notwendigen Ports auf die Mailserver des Mailproviders zugreifen)) und alle anderen sperren. | ||
Dazu hat die Firewall in jedem Netz eine IP-Adresse (10.x.0.1 oder 10.x.0.254) und gibt diese per DHCP den Clients als Gateway bekannt. | Dazu hat die Firewall in jedem Netz eine IP-Adresse (10.x.0.1 oder 10.x.0.254) und gibt diese per DHCP den Clients als Gateway bekannt. | ||
- | ==Routing== | + | ===Routing=== |
... (also das Weiterleiten legitimer IP-Pakete in andere Netze) kann man natürlich auch Layer-3-Switchen überlassen - daher deren Name. Die Firewall kann trotzdem die restlichen Dienste anbieten, darf aber in den betroffenen Netzen nicht mehr das Standardgateway sein. Komplexe Filter realisiert man damit nicht, aber die sollten an einer Schule i.d.R. nicht nötig sein. Diese Switche können dafür 10GBit problemlos routen, ohne dass man eine restlos überteuerte Firewall mit 10GBit-Interface beschaffen muss. | ... (also das Weiterleiten legitimer IP-Pakete in andere Netze) kann man natürlich auch Layer-3-Switchen überlassen - daher deren Name. Die Firewall kann trotzdem die restlichen Dienste anbieten, darf aber in den betroffenen Netzen nicht mehr das Standardgateway sein. Komplexe Filter realisiert man damit nicht, aber die sollten an einer Schule i.d.R. nicht nötig sein. Diese Switche können dafür 10GBit problemlos routen, ohne dass man eine restlos überteuerte Firewall mit 10GBit-Interface beschaffen muss. | ||
====Test==== | ====Test==== |