8
Aufteilung kleines Firmennetzwerk
Hallo zusammen,
ich habe eine Frage. Wir hatten bis jetzt bei einem kleinem Firmennetzwerk folgende Config.
Einen Switch 16 Port an dem die PCs hängen 10 clients ein Server Windows SBS der als Domänencontroller und als kleiner Fileserver dient (es liegen nur ein paar Doks au einem freigegebenen Netzwerkordner).
Dann gibt es noch eine VOIP Telefonanlage die an dem Switch hängt und die VOIP Telefone.
Der SBS Server übernimmt den DHCP Server Dienst. Verteilung der IPS von 192.168.100.10 bis 254 ausgenommen 100 bis 254 wobei 100 die Server IP Adresse ist.
EIn router mit DSL Modem hängt am Switch um die Internetverbindung herzustellen. Der hat die ip 192.168.100.1 ohne Routing funktion soll ja nur für die Internetverbindung dienen.
Nun haben wir einen CISCO SG300 52 Port managed Switch geholt um alle Patch Dosen nutzen zu können und mehr Möglichkeiten zu haben.
Ohne das ich von Grundauf das Netzwerk neu aufestzen müsste macht es sin mit VLANs zu arbeiten?
z.B Vlan 10 für die Clients / VLAN20 für den SBS und VLAN30 für den Router? Und den Cico auf Layer 3 laufen zu lassen? Würde sich das mit dem DHCP des SBS beisen nein oder?
Macht es bei der Netzwerkgröße überhaupt sinn in Sachen Sicherheit und Auslastung? z.B dem ROuter der die Internetverbindung aufbaut in ein seprates Vlan zu setzen?
Die Vlans müssten ja dann unterneiander auch kommunizieren können?
Vielen Dank für euer Tipps im Voraus
VG
Micha
ich habe eine Frage. Wir hatten bis jetzt bei einem kleinem Firmennetzwerk folgende Config.
Einen Switch 16 Port an dem die PCs hängen 10 clients ein Server Windows SBS der als Domänencontroller und als kleiner Fileserver dient (es liegen nur ein paar Doks au einem freigegebenen Netzwerkordner).
Dann gibt es noch eine VOIP Telefonanlage die an dem Switch hängt und die VOIP Telefone.
Der SBS Server übernimmt den DHCP Server Dienst. Verteilung der IPS von 192.168.100.10 bis 254 ausgenommen 100 bis 254 wobei 100 die Server IP Adresse ist.
EIn router mit DSL Modem hängt am Switch um die Internetverbindung herzustellen. Der hat die ip 192.168.100.1 ohne Routing funktion soll ja nur für die Internetverbindung dienen.
Nun haben wir einen CISCO SG300 52 Port managed Switch geholt um alle Patch Dosen nutzen zu können und mehr Möglichkeiten zu haben.
Ohne das ich von Grundauf das Netzwerk neu aufestzen müsste macht es sin mit VLANs zu arbeiten?
z.B Vlan 10 für die Clients / VLAN20 für den SBS und VLAN30 für den Router? Und den Cico auf Layer 3 laufen zu lassen? Würde sich das mit dem DHCP des SBS beisen nein oder?
Macht es bei der Netzwerkgröße überhaupt sinn in Sachen Sicherheit und Auslastung? z.B dem ROuter der die Internetverbindung aufbaut in ein seprates Vlan zu setzen?
Die Vlans müssten ja dann unterneiander auch kommunizieren können?
Vielen Dank für euer Tipps im Voraus
VG
Micha
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 236039
Url: https://administrator.de/contentid/236039
Ausgedruckt am: 24.11.2024 um 21:11 Uhr
8 Kommentare
Neuester Kommentar
N'Abend.
Du hast dir die Frage ja eigentlich schon selbst beantwortet: Nein, macht null Sinn, ist nur Aufwand und macht ein Troubleshooting nur komplexer.
Einzig die VoIP-Telefone würde ich in ein eigenes VLAN packen und dieses dann priosieren wegen der Sprachqualität. Wobei das 10 Telefonen irgendwie auch nicht wirklich nötig ist.
Cheers,
jsysde
P.S.:
Nur, weil <das Gerät> es kann, ist es nicht auch notgedrungen angeraten, es zu nutzen.
Zitat von @ditn1982:
[...]Macht es bei der Netzwerkgröße überhaupt sinn in Sachen Sicherheit und Auslastung? z.B dem ROuter der die
Internetverbindung aufbaut in ein seprates Vlan zu setzen?
Die Vlans müssten ja dann unterneiander auch kommunizieren können?
Vielen Dank für euer Tipps im Voraus
VG
Micha
[...]Macht es bei der Netzwerkgröße überhaupt sinn in Sachen Sicherheit und Auslastung? z.B dem ROuter der die
Internetverbindung aufbaut in ein seprates Vlan zu setzen?
Die Vlans müssten ja dann unterneiander auch kommunizieren können?
Vielen Dank für euer Tipps im Voraus
VG
Micha
Du hast dir die Frage ja eigentlich schon selbst beantwortet: Nein, macht null Sinn, ist nur Aufwand und macht ein Troubleshooting nur komplexer.
Einzig die VoIP-Telefone würde ich in ein eigenes VLAN packen und dieses dann priosieren wegen der Sprachqualität. Wobei das 10 Telefonen irgendwie auch nicht wirklich nötig ist.
Cheers,
jsysde
P.S.:
Nur, weil <das Gerät> es kann, ist es nicht auch notgedrungen angeraten, es zu nutzen.
Der hat die ip 192.168.100.1 ohne Routing funktion soll ja nur für die Internetverbindung dienen.
Das wäre technischer Unsinn, denn dann könnte er ja nichtmal ins Internet routen ! Logischerweise hat ein Internet Router immer eine Routing Funktion !Nun haben wir einen CISCO SG300 52 Port managed Switch geholt um alle Patch Dosen nutzen zu können und mehr Möglichkeiten zu haben.
Fast rausgeschmissenens Geld für so ein Popel- Mininetz mit einem L3 Switch ! Ein SG-200 hätte allemal dafür gereicht !müsste macht es sin mit VLANs zu arbeiten?
Ja, kann Sinn machen, obwohl du mit dem Mininetz es nicht zwingend benötigen würdest wie oben schon gesagt....allerdings...Im Falle von VoIP bist du aufgrund des Fernmeldegeheimnis dazu verpflichtet in einem Firmennetz, den ohne das könnte jeder problemlos alle Gespäche lokal belauschen. Mit einem Wireshark Sniffer ist das ein Kinderspiel ! Obwohl bei mickrigen 10 Leuten ist das auch diskussionswürdig.
Wie gesagt wenn du es toll machen willst und mal was im Netzwerk ausreizen willst und keine Angst vor dem Troubleshooting hast mach es. Voice macht in jedem Falle Sinn, allein schon wegen des QoS.
z.B Vlan 10 für die Clients / VLAN20 für den SBS und VLAN30 für den Router? Und den Cico auf Layer 3 laufen zu lassen?
Ja, das ist schonmal ein guter Ansatz ! Besser:Default VLAN 1 = Server und Clients
VLAN 10 = Router und Internet Raffic abtrennen vom Produktivtraffic
VLAN 20 = Voice VLAN mit den Telefonen
Würde sich das mit dem DHCP des SBS beisen nein oder?
Nein, du müsstest nur 2 neue Scopes auf dem Winblows DHCP Server erstellen für die 2 neuen VLANs und einen IP Helper (DHCP Forwarder) an den Switch L3 IP Interfaces konfigurieren. Sind 2 simple Mausklicks auf dem SG-300Die Vlans müssten ja dann unterneiander auch kommunizieren können?
Ja, dafür hast du ja viel Geld ausgegeben und dir einen Layer 3 Routing Switch gekauft. Wie du das machst kannst du hier haarklein nachlesen:http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
Hi aqui,
danke für die ein Antwort. Die Hilfe mit dem Cisco in Layer 3 Modus bringen habe ich mir auch angeschaut.
Also Wie du schon sagtest das vorhandene V1 des Cisco auf alle Ports aktivieren wo Server und CLients hängen.
Im Moment ist der Switch ja im L2 Modus und ich kann ja jetzt schonmal Vlan anlegen. Nur sobald ich Ihn in den L3 Modus bringe bekomme ich dann Probleme mit dem DHCP des SBS? Bin in der VLAN Technik noch neuling würde das aber gerne umsetzen. Besonders um den Router Firtzbox VOIP Gateway und die Telefonalage mit den Telefonen in seperate Vlans zu bringen.
Zusätzlich muss ich ja für die Vlans 20 und 30 eine Ip einrichten so habe ich das nachgelesen damit die netze dann untereinander kommunizieren?
Kannst du mir ggf. ne kurze anleitung oder Tipp mit auf den Weg geben für die Umstellung?
VG
Micha
danke für die ein Antwort. Die Hilfe mit dem Cisco in Layer 3 Modus bringen habe ich mir auch angeschaut.
Also Wie du schon sagtest das vorhandene V1 des Cisco auf alle Ports aktivieren wo Server und CLients hängen.
Im Moment ist der Switch ja im L2 Modus und ich kann ja jetzt schonmal Vlan anlegen. Nur sobald ich Ihn in den L3 Modus bringe bekomme ich dann Probleme mit dem DHCP des SBS? Bin in der VLAN Technik noch neuling würde das aber gerne umsetzen. Besonders um den Router Firtzbox VOIP Gateway und die Telefonalage mit den Telefonen in seperate Vlans zu bringen.
Zusätzlich muss ich ja für die Vlans 20 und 30 eine Ip einrichten so habe ich das nachgelesen damit die netze dann untereinander kommunizieren?
Kannst du mir ggf. ne kurze anleitung oder Tipp mit auf den Weg geben für die Umstellung?
VG
Micha
N'Abend.
Fritz!Box und VLANs?
Mit Spielzeug geht das nicht.
Wenn du mit VLANs "spielen" willst, schön. Dafür hast du ja die passende Hardware und so, wie aqui es beschrieben hat, funktioniert es natürlich auch. Du hattest aber nach dem Sinn für dein sehr kleines Netz gefragt und da bleibe ich bei meiner Meinung: Macht keinen Sinn, macht es nur komplexer als nötig.
Cheers,
jsysde
Fritz!Box und VLANs?
Mit Spielzeug geht das nicht.
Wenn du mit VLANs "spielen" willst, schön. Dafür hast du ja die passende Hardware und so, wie aqui es beschrieben hat, funktioniert es natürlich auch. Du hattest aber nach dem Sinn für dein sehr kleines Netz gefragt und da bleibe ich bei meiner Meinung: Macht keinen Sinn, macht es nur komplexer als nötig.
Cheers,
jsysde
Hi,
ja klar erstmal der Sinn. Aber ich würde das gerne auch mal einrichten um es wissen.
Die Fitrzbox stellt ja nur die Internetverbindung her. Mehr macht das Ding ja nicht. Die Hängt ja an den Cisco Switch. Und das DHCP Routing geht über den SBS.
Oder muss damit der Internetrouter ein eigenes VLAN bekommt diser auch gewisse Voraussetzungen erfüllen?
Ist es sicherer wenn ein eigenes VLAN für den Internet Router besteht?
VG
Micha
ja klar erstmal der Sinn. Aber ich würde das gerne auch mal einrichten um es wissen.
Die Fitrzbox stellt ja nur die Internetverbindung her. Mehr macht das Ding ja nicht. Die Hängt ja an den Cisco Switch. Und das DHCP Routing geht über den SBS.
Oder muss damit der Internetrouter ein eigenes VLAN bekommt diser auch gewisse Voraussetzungen erfüllen?
Ist es sicherer wenn ein eigenes VLAN für den Internet Router besteht?
VG
Micha
Erst das Gerät kaufen, dann überlegen was man damit macht. Umgekehrt wäre besser gewesen. 
Da Du sie dann als Router nutzt könntest Du auf der G300 Layer3-ACLs einsetzen um das sicherer zu machen. Es ist alles eine Frage der Anforderungen.
Bei dem Netzwerk und den hier gesehenen Anforderungen würde ich aber nur ggf. das VoIP-Netz in ein eigenes VLAN packen. Wenn überhaupt.
Da Du sie dann als Router nutzt könntest Du auf der G300 Layer3-ACLs einsetzen um das sicherer zu machen. Es ist alles eine Frage der Anforderungen.
Bei dem Netzwerk und den hier gesehenen Anforderungen würde ich aber nur ggf. das VoIP-Netz in ein eigenes VLAN packen. Wenn überhaupt.
Der Router und die komplette Hardware war bereits vorhanden. Das einzige was ich neu geholt habe ist der CISCO. Der wie es ja auch ist Überdimensioniert ist aber wir wissen ja nie wie sich die Firma weiterentwickelt. Und ich will ja nur wissen.
A) Sobald der Cisco in Layer 3 ist dann passiert ja erstmal nicht weil DHCP über den SBS Server läuft?
Und dann die Aufteilung
VLAN1 = clients und Server VLAN10 router -> bzw. internet und VLAN 20 VOIP Anlage und Telefone?
Wäre das auch in Bezog des Router an einem eigenen VLAN sicherer wie jetzt alles in einem Netz?
ODer doch nur ein zusätzliches VLAN für die VOIP Anlage und Telefone?
VG
Micha
A) Sobald der Cisco in Layer 3 ist dann passiert ja erstmal nicht weil DHCP über den SBS Server läuft?
Und dann die Aufteilung
VLAN1 = clients und Server VLAN10 router -> bzw. internet und VLAN 20 VOIP Anlage und Telefone?
Wäre das auch in Bezog des Router an einem eigenen VLAN sicherer wie jetzt alles in einem Netz?
ODer doch nur ein zusätzliches VLAN für die VOIP Anlage und Telefone?
VG
Micha
Zitat von @ditn1982:
VLAN1 = clients und Server VLAN10 router -> bzw. internet und VLAN 20 VOIP Anlage und Telefone?
Wäre das auch in Bezog des Router an einem eigenen VLAN sicherer wie jetzt alles in einem Netz?
ODer doch nur ein zusätzliches VLAN für die VOIP Anlage und Telefone?
VLAN1 = clients und Server VLAN10 router -> bzw. internet und VLAN 20 VOIP Anlage und Telefone?
Wäre das auch in Bezog des Router an einem eigenen VLAN sicherer wie jetzt alles in einem Netz?
ODer doch nur ein zusätzliches VLAN für die VOIP Anlage und Telefone?
Vorschlag, wenn Du mehrere VLAN einsetzen willst und den VOIP-Traffic abspalten möchtest:
VLANID / Name / IF-Adresse auf Switch/ Netz
1 / Manag / 172.16.1.1 / 24
2 / VoIP / 172.16.2.1 / 24
3 / Intranet / 172.16.3.1 / 24
4 / Koppel / 172.16.4.5 / 24
in VLAN 4 kommt dann der Upstream-Router als 172.16.4.1
Du hast damit ein VLAN mit je einem VLAN-Interface auf der Switch. Der Einfachheit halber immer /24 Netze und 3. Oktett = VLAN-ID.
Folgendes auf der Switch aktivieren: Routing zwischen VLANs, Ausgangs und Eingangs-ACL mit Portbasierter Filterung für das Koppelnetz (4).
Bei Cisco geht glaub ich sowas wie "switchport voice vlan 2" usw... damit deine Telefone Vorrang haben, das sollte dann so eingestellt werden das Traffic an VLAN 2 von/zu 4 eine höhere Priorität (COS 4 bis 7) hat. Bitte lies das im Handbuch von dieser Switch nach, bin aber sicher, das die das kann.
^^ Mit dieser Konfiguration hast Du alles was sinnvoll ist verwendet und Dein Intranet mit DHCPd und Clients ist vom Telefonnetz getrennt. Du kannst alles Filtern und hast Dir alle Optionen offengehalten wenn sich "die Firma weiterentwickelt".
