Aufbau mittlerer bis großer Netzwerke
Hallo Zusammen,
ich bin 21 und betreue derzeit beruflich mehrere IT-Infrastrukturen bis ca. 100 Seats je Netzwerk. Netzwerke in dieser Größenordnung habe ich denke ich ganz gut im Griff - sei es SQL, Terminal oder Exchange. Meist sind die Netze über die Zeit gewachsen und bestehen aus folgenden Grundeigenschaften:
-Layer 2 Switche über Glasfaserstrecken / 10 GbE Uplink-Ports wenn mehrere UV vorhanden sind - die Tertiärverkabelung klassich über Kupfer (Cat.7). Derzeit sind keine Coreswitche im Einsatz sondern alles ist sternförmig vernetzt, also keine Redundanz.
-IPv4 Klasse C Netze
-zentrales UTM Gateway als VM oder Appliance - meist Sophos (Firewall, AntiSpam, AntiVirus, IDS etc.)
-ggf. KEMP Loadbalancer
-HyperV als VM-Plattform mit DC, Exchange, Datenserver, ggf. Apache Reverse Proxy etc - bei HA-Szenarien auch mal Clusterbetrieb über ein SAN
-Backup auf ein NAS mit Veeam B&R + Veeam Endpoint Backup
-AV Software auf jedem PC (Bitdefender) - ggf. auch ein WebProtection Client
-Patchmanagement aller Clients + Server - sowohl Windows als auch 3rd Party
-Monitoring der gesamten Infrastruktur mit Sicherheitschecks aller Windows Hardware
-(ich denke ich habe aus dem Kopf die wichtigsten Punkte zusammen bekommen )
Allerdings würde mich -rein der Interesse geschuldet- interessieren, wie "mittlere bis große" IT-Infrastrukturen aufgebaut sind? Vor allem wie wird die höchste Sicherheit der IT sichergestellt? Nur über eine UTM Lösung?? Klar gibt es bei allen andere Anforderungen aber ich denke da an einen "Grundaufbau". Ist der mit den o. g. Eigenschaften vereinbar oder müssen da ganz andere "Geschütze" aufgefahren werden? Loadbalancer? VMWare oder Citrix als HyperVisor? Subnetting? VLANs über Layer3 Switche oder oder?
Weil ich alle Infrastrukturen optimal administrieren möchte bin ich natürlich immer dabei mich weiterzubilden. Da ich aber nich tausende von Euronen ausgeben möchte um Cisco oder M$ Schulungen zu besuchen, recherchiere ich das meiste, teste es im kleinen oder lese viel in Foren. Ich denke mir immer die großen kochen auch nur mit Wasser Mir liegt dabei die höchste Sicherheit und beste Konfiguration aller Komponenten am Herzen. Aus diesen Gründen sammle ich gerne jeglichen Input und freue mich auf ein paar spannende Antworten.
Grüße
MASTERPHIL
ich bin 21 und betreue derzeit beruflich mehrere IT-Infrastrukturen bis ca. 100 Seats je Netzwerk. Netzwerke in dieser Größenordnung habe ich denke ich ganz gut im Griff - sei es SQL, Terminal oder Exchange. Meist sind die Netze über die Zeit gewachsen und bestehen aus folgenden Grundeigenschaften:
-Layer 2 Switche über Glasfaserstrecken / 10 GbE Uplink-Ports wenn mehrere UV vorhanden sind - die Tertiärverkabelung klassich über Kupfer (Cat.7). Derzeit sind keine Coreswitche im Einsatz sondern alles ist sternförmig vernetzt, also keine Redundanz.
-IPv4 Klasse C Netze
-zentrales UTM Gateway als VM oder Appliance - meist Sophos (Firewall, AntiSpam, AntiVirus, IDS etc.)
-ggf. KEMP Loadbalancer
-HyperV als VM-Plattform mit DC, Exchange, Datenserver, ggf. Apache Reverse Proxy etc - bei HA-Szenarien auch mal Clusterbetrieb über ein SAN
-Backup auf ein NAS mit Veeam B&R + Veeam Endpoint Backup
-AV Software auf jedem PC (Bitdefender) - ggf. auch ein WebProtection Client
-Patchmanagement aller Clients + Server - sowohl Windows als auch 3rd Party
-Monitoring der gesamten Infrastruktur mit Sicherheitschecks aller Windows Hardware
-(ich denke ich habe aus dem Kopf die wichtigsten Punkte zusammen bekommen )
Allerdings würde mich -rein der Interesse geschuldet- interessieren, wie "mittlere bis große" IT-Infrastrukturen aufgebaut sind? Vor allem wie wird die höchste Sicherheit der IT sichergestellt? Nur über eine UTM Lösung?? Klar gibt es bei allen andere Anforderungen aber ich denke da an einen "Grundaufbau". Ist der mit den o. g. Eigenschaften vereinbar oder müssen da ganz andere "Geschütze" aufgefahren werden? Loadbalancer? VMWare oder Citrix als HyperVisor? Subnetting? VLANs über Layer3 Switche oder oder?
Weil ich alle Infrastrukturen optimal administrieren möchte bin ich natürlich immer dabei mich weiterzubilden. Da ich aber nich tausende von Euronen ausgeben möchte um Cisco oder M$ Schulungen zu besuchen, recherchiere ich das meiste, teste es im kleinen oder lese viel in Foren. Ich denke mir immer die großen kochen auch nur mit Wasser Mir liegt dabei die höchste Sicherheit und beste Konfiguration aller Komponenten am Herzen. Aus diesen Gründen sammle ich gerne jeglichen Input und freue mich auf ein paar spannende Antworten.
Grüße
MASTERPHIL
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322000
Url: https://administrator.de/contentid/322000
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
klingt erstmal ganz vernünftig was du so treibst.
In größeren Netzen ist man natürlich immer angehalten Redundanzen in der Infrastruktur aufzubauen, so das man in allen Fällen "schalten und walten" kann. Aber das hast du ja erkannt. Was ab einer gewissen Größe eigentlich unabdingbar ist, auch wenn es bei weitem nicht alle so handhaben, ist eine konsequente Netztrennung, sowie die Einteilung der Netze in Security-Policy-Zonen. Beispielsweise ist innerhalb eines Netzwerks ein weiteres definiert, welches wiederum von einer weiteren Firewall/UTM geschütz wird.
Das ist dann aber in seiner Komplexität arbiträr. Subnetting? ja. VLANs? Auf jeden Fall! Layer3 Switche, Loadbalancing Core-Switche etc. ergibt sich dann aus der Notwendigkeit heraus sowieso. Die Anbieter sind relativ egal, man muss seine Pappenheimer halt kennen.
Man muss seinen Beruf doch irgendwie lieben und die eigenen Konstrukte immer hinterfragen. Niemals behaupten man wäre "fertig".
Die Schulungen sind alle nicht unnütz, aber solange man nicht ausschließlich Switche verdrahten möchte oder tagtäglich Windows Server "abwirft", muss man irgendwie eher einen Blick für das große Ganze bekommen.
Ansonsten musst du konkreter fragen, sonst kann man hier ein Buch schreiben...
Gruß c
klingt erstmal ganz vernünftig was du so treibst.
In größeren Netzen ist man natürlich immer angehalten Redundanzen in der Infrastruktur aufzubauen, so das man in allen Fällen "schalten und walten" kann. Aber das hast du ja erkannt. Was ab einer gewissen Größe eigentlich unabdingbar ist, auch wenn es bei weitem nicht alle so handhaben, ist eine konsequente Netztrennung, sowie die Einteilung der Netze in Security-Policy-Zonen. Beispielsweise ist innerhalb eines Netzwerks ein weiteres definiert, welches wiederum von einer weiteren Firewall/UTM geschütz wird.
Das ist dann aber in seiner Komplexität arbiträr. Subnetting? ja. VLANs? Auf jeden Fall! Layer3 Switche, Loadbalancing Core-Switche etc. ergibt sich dann aus der Notwendigkeit heraus sowieso. Die Anbieter sind relativ egal, man muss seine Pappenheimer halt kennen.
Man muss seinen Beruf doch irgendwie lieben und die eigenen Konstrukte immer hinterfragen. Niemals behaupten man wäre "fertig".
Die Schulungen sind alle nicht unnütz, aber solange man nicht ausschließlich Switche verdrahten möchte oder tagtäglich Windows Server "abwirft", muss man irgendwie eher einen Blick für das große Ganze bekommen.
Ansonsten musst du konkreter fragen, sonst kann man hier ein Buch schreiben...
Gruß c
Der Begriff "mittlere bis große" IT-Infrastrukturen ist ja erstmal ein ziemlicher Schrotschuss. Man muss ja schon etwas differenzieren ob es im Infrastruktur wie IP Netze, Storage Netze oder Server, Clients etc. geht.
Zu jedem könnte man ja viel schreiben.
Um mal beim Thema Netzwerke zu bleiben sind solche Dinge wie reine L2 Switches die wild vernetzt wie du oben beschreibst sind natürlich tödlich. Sowas sollte man auch in kleineren Netzen tunlichst vermeiden was auch jeder Netzwerker tut.
Das hat dann mit mittleren bis großen Netzwerken rein gar nichts mehr zu tun und gleitet dann in die Bastelei und Fricklei von Halbwissenden in Klein- und Kleinstnetzen ab.
Kollege cuilster hat hier absolut Recht das eine Strukturierung und auch vor allen Dingen Segmentierung hier oberste Pflicht ist. Riesige L2 Domains sind in solchen Größenornungen unmöglich und ein NoGo. Solche Binsenweisheiten kennt aber jeder halbwegs kundige Netzwerker.
In den letzten Jahren geht das Design bei größeren Netzwerken eher weg von der klasssichen Nord-Süd Architektur mit der allseits bekannten Core, Distribution, Access Architektur (oder nur Core, Access wenns kleiner ist) auf eine West-Ost Design Architektur. Ganz besonders beobachtet man das in RZ bestimmter Größenordnungen, da dort die Applikatione und Anwendungen solche Designs erfordern.
In kleineren, reinen Enterprise Umfeldern realisiert man sowas mit Full Stack fähigen L3 Switches im Core und Techniken wie z.B. Virtual Port Channel (VPC) oder Multi Chassis Trunking (MCT).
Dazu kommt das heute mit modernen DCB bzw. Fabric fähigen Switches auch die dafür erforderliche noch bessere Infrastruktur möglich ist.
Mit solchen DCB/Fabric Switches sind voll- oder teilvermaschte Any zu Any Strukturen möglich sowohl im Layer 2 und Layer 3 so das man mit verteilten 1HE Switches eine vollredundante und höchstverfügbare Infrastruktur erstellen kann mit minimalstem Konfig Aufwand.
Dazu kommt dann noch das diese Switches, um so etwas realisieren zu können, mit modernen Protokollen wie TRILL oder SPB arbeiten und so vollkommen Spanning Tree freie Infrastrukturen schaffen die auch noch schnell, einfach und unkompliziert zu managen sind und damit sehr kosteneffizient arbeiten.
Viele davon formen die Infrastruktur selber ohne das eine spezielle Konfiguration erforderlich ist was eine weitere erhebliche Vereinfachung darstellt.
On Top können solche Fabric basierten Netze aktiv mit Virtualisierungstechniken umgehen wie vCenter Kopplung (vmWare), OpenStack usw. so das sie aktiv von der Peripherie lernen und sich anpassen.
Dazu kommen dann weitere Techniken wie OpenFlow, NetConf, Python, Puppet und Co. mit denen eine externe Kontrolle der Switch Controlplane bzw. einer Fabric möglich ist um ein Netzwerk auch proaktiv von externen Events zu steuern.
Solche Switches nutzen zudem zur Virtualisierung Tunneltechnologien auf VxLAN Basis und können so auch große Layer 2 Infrastrukturen über geroutete Layer 3 Netze realisieren. Themen wie NSX oder VTEP sind hier treibende Faktoren.
Unabdingbar bei hochverfügbaren, redundanten und verteilten RZ Strukturen.
Zusätzlich sind solche DCB Switches immer auch hybride Switches die sowohl Storage Technologien abbilden können als auch Ethernet.
Folglich kann man mit ihnen jeglicher Storage Traffic, sei es FC oder IP basiert, lossless über eine gemeinsame Infrastruktur übertragen, was den Einsatz auch besonders effiizient und kostensparend macht um nicht ultiple Netze mit multipler Hardware betreiben zu müssen.
Port Security wie 802.1x, MacSec und IPsec Verschlüsselng im WAN sind hier natürlich selbstverständlich um das Thema Security mal anzureissen.
Nur mal so um ein gaaanz klein wenig Licht auf das große Ganze zum Thema Netzwerk zu werfen wo der Longshine Switch vom Blödmarkt nicht mehr reicht.
Zu jedem könnte man ja viel schreiben.
Um mal beim Thema Netzwerke zu bleiben sind solche Dinge wie reine L2 Switches die wild vernetzt wie du oben beschreibst sind natürlich tödlich. Sowas sollte man auch in kleineren Netzen tunlichst vermeiden was auch jeder Netzwerker tut.
Das hat dann mit mittleren bis großen Netzwerken rein gar nichts mehr zu tun und gleitet dann in die Bastelei und Fricklei von Halbwissenden in Klein- und Kleinstnetzen ab.
Kollege cuilster hat hier absolut Recht das eine Strukturierung und auch vor allen Dingen Segmentierung hier oberste Pflicht ist. Riesige L2 Domains sind in solchen Größenornungen unmöglich und ein NoGo. Solche Binsenweisheiten kennt aber jeder halbwegs kundige Netzwerker.
In den letzten Jahren geht das Design bei größeren Netzwerken eher weg von der klasssichen Nord-Süd Architektur mit der allseits bekannten Core, Distribution, Access Architektur (oder nur Core, Access wenns kleiner ist) auf eine West-Ost Design Architektur. Ganz besonders beobachtet man das in RZ bestimmter Größenordnungen, da dort die Applikatione und Anwendungen solche Designs erfordern.
In kleineren, reinen Enterprise Umfeldern realisiert man sowas mit Full Stack fähigen L3 Switches im Core und Techniken wie z.B. Virtual Port Channel (VPC) oder Multi Chassis Trunking (MCT).
Dazu kommt das heute mit modernen DCB bzw. Fabric fähigen Switches auch die dafür erforderliche noch bessere Infrastruktur möglich ist.
Mit solchen DCB/Fabric Switches sind voll- oder teilvermaschte Any zu Any Strukturen möglich sowohl im Layer 2 und Layer 3 so das man mit verteilten 1HE Switches eine vollredundante und höchstverfügbare Infrastruktur erstellen kann mit minimalstem Konfig Aufwand.
Dazu kommt dann noch das diese Switches, um so etwas realisieren zu können, mit modernen Protokollen wie TRILL oder SPB arbeiten und so vollkommen Spanning Tree freie Infrastrukturen schaffen die auch noch schnell, einfach und unkompliziert zu managen sind und damit sehr kosteneffizient arbeiten.
Viele davon formen die Infrastruktur selber ohne das eine spezielle Konfiguration erforderlich ist was eine weitere erhebliche Vereinfachung darstellt.
On Top können solche Fabric basierten Netze aktiv mit Virtualisierungstechniken umgehen wie vCenter Kopplung (vmWare), OpenStack usw. so das sie aktiv von der Peripherie lernen und sich anpassen.
Dazu kommen dann weitere Techniken wie OpenFlow, NetConf, Python, Puppet und Co. mit denen eine externe Kontrolle der Switch Controlplane bzw. einer Fabric möglich ist um ein Netzwerk auch proaktiv von externen Events zu steuern.
Solche Switches nutzen zudem zur Virtualisierung Tunneltechnologien auf VxLAN Basis und können so auch große Layer 2 Infrastrukturen über geroutete Layer 3 Netze realisieren. Themen wie NSX oder VTEP sind hier treibende Faktoren.
Unabdingbar bei hochverfügbaren, redundanten und verteilten RZ Strukturen.
Zusätzlich sind solche DCB Switches immer auch hybride Switches die sowohl Storage Technologien abbilden können als auch Ethernet.
Folglich kann man mit ihnen jeglicher Storage Traffic, sei es FC oder IP basiert, lossless über eine gemeinsame Infrastruktur übertragen, was den Einsatz auch besonders effiizient und kostensparend macht um nicht ultiple Netze mit multipler Hardware betreiben zu müssen.
Port Security wie 802.1x, MacSec und IPsec Verschlüsselng im WAN sind hier natürlich selbstverständlich um das Thema Security mal anzureissen.
Nur mal so um ein gaaanz klein wenig Licht auf das große Ganze zum Thema Netzwerk zu werfen wo der Longshine Switch vom Blödmarkt nicht mehr reicht.
Sind Server und Clients in unterschiedlichen Netzen?
Haben Drucker ihr eigenes LAN?
Ist an den Transferstellen/Routing zwischen den Netzwerken immer eine UTM vorhanden?
Sind Ports richtig eingeschränkt?
DNS & ICMP Tunneling verhindert?
SMTP verschlüsselt?
Gast-WLAN im "Gummizellen-Netz"?
IEEE 802.1x?
Basisdienste wie DNS, DHCP Redundant?
Auch in kleinen Netzen gibt es genug zu tun. Ist beliebig ausbaubar. Und wenn es Monitoring ist.
Natürlich muss mann abwägen, was wirklich sinnvoll ist und den Kunden mitnehmen.
Und 'nem nakten Mann kann man nicht in de Tasche fassen
LG C
Haben Drucker ihr eigenes LAN?
Ist an den Transferstellen/Routing zwischen den Netzwerken immer eine UTM vorhanden?
Sind Ports richtig eingeschränkt?
DNS & ICMP Tunneling verhindert?
SMTP verschlüsselt?
Gast-WLAN im "Gummizellen-Netz"?
IEEE 802.1x?
Basisdienste wie DNS, DHCP Redundant?
Auch in kleinen Netzen gibt es genug zu tun. Ist beliebig ausbaubar. Und wenn es Monitoring ist.
Natürlich muss mann abwägen, was wirklich sinnvoll ist und den Kunden mitnehmen.
Und 'nem nakten Mann kann man nicht in de Tasche fassen
LG C
Wenn ich mir kleine Netze mit 5/6 Server und vielleicht 30 Clients vorstelle sehe ich keine unbedingte Notwendigkeit L3 Switche und eine Segmentierung einzubauen
Das kann man so pauschal nicht sagen ! Kollege cuilister hat das oben schon richtig angesprochen !Allein aus rechtlichen Gründen bist du in Firmennetzen zu einer Segmentierung verpflichtet wenn hier VoIP ein Thema ist und auch bei WLAN bzw. einem Gast WLAN.
Auch solche kleinen Netze bestehen dann IMMER aus mindestens 4 VLANs wenn man als Netzwerker sauber arbeitet.
Generell sollte man auch zw. Client und Server Segment trennen sofern irgendwie mit HA Techniken im Server Bereich gearbeitet wird und auch um Server vor Manipulationen die Bastelclients gerne mal machen oder Netzwerk Loops die sie stecken sicher zu schützen.
Verantwortungsvolle und sorgfältige Netzwerker planen sowas IMMER ein bei der HW Beschaffung. Auch bei 30 Clients und 6 Server.
Klar Klempnermeister Röhricht mit einem Server und 3-4 Clients braucht das nicht. Anders sieht es bei ihm aber wieder aus sollte WLAN ein Thema sein.
Du siehst das man solche Pauschlaaussagen niemals machen kann. Das ist immer Individualplanung.
Aber es ging ja auch nicht im solche popeligen Allerweltsnetze sondern um richtige Netzwerke bei deiner Frage !
Ich kenne keinen Kollegen und auch keinen IT Dienstleister aus unserer Region der Netze wie oben beschrieben groß anders von der Grundstruktur her aufbaut.
Das ist auch kein Wunder denn solche kleinen IT Dienstleister bauen auch nur kleine Netze mit geringen bis allergeringsten Anforderungen.Zusätzlich ist in solchen Häusern wenig bis gar kein KnowHow verfügbar sowas im Ansatz richtig zu machen und weitsichtig zu planen. Bei den allermeisten der Kunden die diese Dienstleister bedienen noch viel weniger meist aber ist gar nichts an Wissen vorhanden.
Folglich ist deren Horizont arg begrenzt was Netzwerk Design und sorgfältige Planung anbetrifft. Sie bewegen sich ja nur immer in solchen Umfeldern also kann man ihnen auch kein Vorwurf machen. Die Arbeitgeber investieren wenig bis gar nichts in Weiterbildung, denn fähige Leute sind dann gleich woanders wo besser bezahlt wird.
Dazu kommt da selbst die billigste China HW heute so leistungsfähig ist um solche schlimmen Designfehler die aus Unwissenheit entstehen einfach zu überdecken.
Viel Falsches wird einfach mit Bandbreite und Performance erschlagen. Ein Teufelskreis.
Es gibt aber natürlich noch eine andere Welt bei größeren Unternehmen die auch größere und vor allen Dingen anspruchsvollere Netzwerke betreiben.
Du wirst ja ganz sicher nicht ernsthaft glauben das BMW, Mercedes, Allianz, Deutsche Bank oder jeder Service Provider usw. Netzwerke mit billigen HP Switches oder NetGear betreiben. Solche Netze waren doch die Intention deiner Frage, oder ?
Anhand der täglichen Themen hier in denen es sich zu 99% um Klein- oder Kleinstnetze dreht spielen ganz andere Dinge eine Rolle.
Für solche Entscheider kommen Netzwerk einfach aus der Wand aufbauen macht sie der Hausmeister oder jeder der einen DSL Router zusammenstöpseln kann. Es sind ja auch kaum Fachleite da die solche, meist falschen Bauchentscheidungen von Kaufläuten die rein nach Branding und vor allem Preis gehen, zu kanalisieren und in die richtige Richtung lenken. Das Bewusstsein das die IT heute eine zentrale Komponente des wirtschaftlichen Erfolgs ist nimmt man als sebstverständlich hin. Aber das ist sicher ein anderes Thema.
In deinem Umfeld wirst du sicher zu 98% mit simplen Stacking Switches und gutem Design 99% aller Anforderungen erfüllen können.
Für große Netze reicht das natürlich nicht.
Und ja, auf große Netze zu schauen würde nur verwirren, aber es erweitert den Wissens Horizont !
Für den der mehr im Beruf vorhat und nicht sein Leben lang mit Dödelnetzen und 2 Serer ala Meister Röhricht spielen will macht das dann schon Sinn.