kuebrich
Goto Top

VLAN Umstellung im Betrieb

Hallo liebes Forum!

Ich bin derzeitg als einziger IT-Administrator in einem klein/mittelgroßen Unternehmen mit ca. 100 Clients beschäftigt.
Leider wurden hier bisher einfach alle Netzwerkgeräte (vom Client bis zum Router ... also wirklich alles :D ) in ein /16 Subnetz gepackt.
Nun treten allerdings Probleme mit externen VPN Verbindungen in denen sich Netzwerke überschneiden auf, allgemein entsteht auch eine hohe Netzwerklast, usw.

Mein Ziel ist es nun das Netz in ein /24 Subnetz zu segmentieren, dazu VLANs und ACLs einzuführen.
Die nötige Hardware ist vorhanden:
3x HPE Layer3 Switch
1x Cisco Layer3 Switch
1x Lancom 1781VA Router
4x Lancom AP

Die VLAN Segementierung hätte ich soweit so geplant:

VLAN10 INTERN:
Alle internen PCs, internes WLAN, Netzwerkdosen, usw.
Netzadresse: 172.16.10.0/24

VLAN20 IBN:
Alle IBN-Netzwerkdosen
Netzadresse: 172.16.20.0/24

VLAN30 SERV:
Netz für die Server-Landschaft.
Netzadresse: 172.16.30.0/24

VLAN40 GAST:
WLAN Gastnetz für Access Points
Netzadresse: 172.16.40.0/24

VLAN50 PRIV:
Privates Netz
Netzadresse: 172.16.50.0/24

VLAN99 REMOTE:
Zugriffsnetz für alle Netzwerkgeräte.
Netzadresse: 172.16.99.0/24

Die ACLs würden sich nur darum kümmern den Traffic aus den WLAN Gastnetz in die internen zu sperren.

Ich denke soweit sollte meine Planung korrekt sein, falls jemand etwas findet was Probleme machen könnte lass ich mich gerne berichtigen.
Mir geht es bei diesen Beitrag eher darum wie ich die Planung am Besten umsetze.

Mein nächster Schritt wäre es jetzt die neue VLAN Struktur aufzubauen, parallel dazu allerdings das "Altnetz" bestehen zu lassen um keine Ausfälle zu riskieren.
Das komplette Umziehen auf die neue Struktur kann und wird an einem Tag geschehen an dem keiner arbeitet, soweit ich das verstehe kommt es sonst zu Problemen da sonst kein Routing in das "Altnetz" stattfinden kann.

Meine Frage wäre nun also, würde dieses Vorgehen so funktionieren oder hole ich mir dabei nur noch mehr Probleme ins Boot?
Vielleicht kennt hier jemand auch eine bessere Planung für meinen Anwendungsfall, ich bin wirklich für jede Hilfe hierzu dankbar!


PS: Ja ich weiß ... sich Administrator nennen und dann nicht mal VLANs beherrschen. Habe bisher leider nie Praxisnah damit gearbeitet sondern nur sehr viel Theorie und Packet Tracer Übungen.
Deswegen tu ich mir jetzt bei der Umsetzung doch etwas schwer ...

Content-Key: 491951

Url: https://administrator.de/contentid/491951

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: aqui
Lösung aqui 05.09.2019 aktualisiert um 15:58:00 Uhr
Goto Top
Leider wurden hier bisher einfach alle Netzwerkgeräte (vom Client bis zum Router ... also wirklich alles :D ) in ein /16 Subnetz gepackt.
Gruselig....hysterisch gewachsen. Der Allerlwelts Klassiker schlechthin wenn wenig KnowHow vorhanden ist... face-wink
Mein Ziel ist es nun das Netz in ein /24 Subnetz zu segmentieren, dazu VLANs und ACLs einzuführen.
Der richtige Weg !
Ich denke soweit sollte meine Planung korrekt sein
👍 Alles richtig gemacht !!
(Nur was ist das geheimnisvolle "IBN" ? Muss es nicht IBM (= Irrsinniger Bit Manipulator) heissen ?!)
Was man noch anmäkeln könnte wäre das Mitarbeiter WLAN. Das sollte man auch immer zur Sicherheit abtrennen sofern vorhanden. Und...
In welchem VLAN liegt dein "Altnetz" ? Das ist oben gar nicht aufgeführt oder verbleibt das im Default VLAN 1 ?
die neue VLAN Struktur aufzubauen, parallel dazu allerdings das "Altnetz" bestehen zu lassen um keine Ausfälle zu riskieren.
Das ist auch genau der richtge Weg wie man das umsetzt. Alles richtig gedacht...!
Das komplette Umziehen auf die neue Struktur kann und wird an einem Tag geschehen an dem keiner arbeitet,
Das ist nicht zwingend notwendig ! Du kannst das auch sukzessive Schritt für Schritt machen. Das ist manchmal sogar besser, weil man so kleinere Einheiten migrieren kann und gleich live sehen kann ob es fehlerlos rennt. Wenn nicht steckt man immer ins "Altnetz" zurück. Die Migration kann man so auch während des Betriebs machen.
Wichtig ist das du natürlich den oder die Core Router der das L3 macht VORHER schon mit allen VLANs und VLAN IP Adressen konfigurierst UND die Tagged Uplinks auf die Access Switches entsprechend für alle VLANs Taggst ! Auch das kann man während des aktiven Betriebs machen.
Wie so ein Bilderbuchnetz dann mit Layer 3 Core aussieht siehst du unten !
Z.B. hängst du abends mal alle "IBN" (was immer das auch ist ?) um ins neue VLAN.
Das ist aber Geschmackssache. Der eine macht es so, der andere an einem Wochenende. Da gibt es keine goldenen regel, das kommt auch immer auf die individuellen Anforderungen an die man von einem Forum aus natürlich nicht beurteilen kann.
würde dieses Vorgehen so funktionieren oder hole ich mir dabei nur noch mehr Probleme ins Boot?
Nein das tust du nicht. Ganz im Gegenteil.
Gut geplant und es ist der richtige Weg. Es gibt keine bessere Planung. Sofern dein IP Adresskonzept steht, die Management IP Adressen festgelegt sind usw. Kannst du loslegen... face-wink
sich Administrator nennen und dann nicht mal VLANs beherrschen
Ist natürlich eine Challenge aber besser jetzt als dieses Gruselnetz nie anfassen ! Man wächst mit der Aufgabe. Ausserdem hast du hier ja immer Hilfe.
Grundlagen erklärt dir auch dieser Thread den du vermutlich auch schon kennst:
Verständnissproblem Routing mit SG300-28
Deswegen tu ich mir jetzt bei der Umsetzung doch etwas schwer ...
Nein, musst du nicht ! Das ist einfach zu machen und du muss keinerlei Angst davor haben. Migriere Schritt für Schritt, dann ist das auch stressfrei face-wink

So sähe ein klassisches Netzdesign für ein modernes, einfaches und redundantes Campus Netz, wie z.B. deins eines ist, aus:

stackdesign
Mitglied: brammer
brammer 05.09.2019 um 16:00:38 Uhr
Goto Top
Hallo,

(Nur was ist das geheimnisvolle "IBN" ? Muss es nicht IBM (Irrsinniger Bit Manipulator) heissen ?!)

ich tippe mal Inbetriebnahme = IBN.

brammer
Mitglied: aqui
aqui 05.09.2019 um 16:07:34 Uhr
Goto Top
Institut für Baubiologie oder Institut für Biodiversität oder Integrierte Berichterstattung Niedersachsen (IBN) könnte ja auch sein... face-monkey
Mitglied: Kuebrich
Kuebrich 05.09.2019 um 16:12:04 Uhr
Goto Top
Vielen Dank erstmal für deine Antwort!
Hört man gerne dass schonmal richtig geplant wurde.

(Nur was ist das geheimnisvolle "IBN" ? Muss es nicht IBM (= Irrsinniger Bit Manipulator) heissen ?!)
Was man noch anmäkeln könnte wäre das Mitarbeiter WLAN. Das sollte man auch immer zur Sicherheit abtrennen sofern vorhanden. Und...
In welchem VLAN liegt dein "Altnetz" ? Das ist oben gar nicht aufgeführt oder verbleibt das im Default VLAN 1 ?

Das IBN(=Inbetriebnahme)-Netz beinhaltet keine Mitarbeiter PCs, es sind aber auch keine Gast PCs also mehr sowas in Richtung Entwicklungsnetz. Deswegen bekommt das Ganze ein eigenes Netz.
Im Mitarbeiter WLAN werden nur Geräte die aus dem Unternehmen kommen verbunden, alle externen Geräte kommen ins Gast WLAN.
Genau, das "Altnetz" ist einfach Default VLAN 1. Hat man damals auch so belassen ...

Das ist nicht zwingend notwendig ! Du kannst das auch sukzessive Schritt für Schritt machen. Das ist manchmal sogar besser, weil man so kleinere Einheiten migrieren kann und gleich live sehen kann ob es fehlerlos rennt. Wenn nicht steckt man immer ins "Altnetz" zurück. Die Migration kann man so auch während des Betriebs machen.
Wichtig ist das du natürlich den oder die Core Router der das L3 macht VORHER schon mit allen VLANs und VLAN IP Adressen konfigurierst UND die Tagged Uplinks auf die Access Switches entsprechend für alle VLANs Taggst ! Auch das kann man während des aktiven Betriebs machen.

Das ist der Punkt wo es bei mir etwas aufhört ...
Da ich ja auch meine Server Landschaft in ein VLAN stecken und dabei die IP-Adresse + Subnetzmaske ändern will kann keiner mehr auf die Dienste zugreifen.
Somit lässt sich nicht Produktiv arbeiten und ich habe einen Netzausfall.

Außer natürlich das Ganze lässt sich irgendwie durch Routing verhindern.
Mitglied: aqui
Lösung aqui 05.09.2019 aktualisiert um 16:18:06 Uhr
Goto Top
und dabei die IP-Adresse + Subnetzmaske ändern will kann keiner mehr auf die Dienste zugreifen.
Gut, die Server sind natürlich besonders, keine Frage. Die migriert man logischerweise immer zu allerletzt da es, wie du schon richtig sagst, dort ja meist ohne eine Downtime nicht geht.
Das Positve ist dann aber das du ALLES andere schon migriert hast und du dann ganz sicher davon ausgehen kannst das der letzte Schritt der Servermigration dann keinerlei Probleme mehr macht. face-wink
Mitglied: Kuebrich
Kuebrich 05.09.2019 um 16:24:11 Uhr
Goto Top
Okay jetzt verstehe ich es, ich mach mich mal ran an die Arbeit! face-smile
Vielen Dank für die Unterstützung, falls irgendwas auftritt weiß ich wo ich mich (nachdem ich alles geprüft und alle Suchen Funktionen genutzt habe ;) ) melden kann.
Mitglied: aqui
aqui 05.09.2019 um 16:29:06 Uhr
Goto Top
So ist es ! face-wink
Viel Erfolg !!!