Ideale Netzwerktopologie für Bürogebäude mit mehreren "Mietern"
Hi,
ich suche nach Lösungszenarien für ein Bürogebäude mit etwas komplexeren Anforderungen an die Netzwerkinfrastruktur.
Hintergrund: Es soll ein großes Bürogebäude (ca. 300 Arbeitsplätze) gebaut werden, dass danach von einem Konzern genutzt wird. Allerdings ist der Konzern aufgeteilt in drei GmbHs die eigene IT-Abteilungen haben. Es gibt nun von den IT-Abteilungen unterschiedliche Ideen zur Realisierung der Netzwerkinfrastruktur.
Aufgrund der techn. Anforderungen an die Endgeräte ist ein reines WLAN zur Trennung der Netze der GmbHs nicht umsetzbar.
Aktuell werden folgende Lösungen diskutiert
a) Ein Netz für alle, mit einer Lösung wie Zscaler die pro Arbeitsplatz entscheidet in welche Domäne das Endgerät gehört.
- Vorteil: nur ein Netzwerk nötig
- Nachteil: Komplex und teuer und in Zukunft (siehe Broadcom) vielleicht richtig teuer
b) Etagenweise Aufteilung der Netze auf die GmbHs, in gemeinsam genutzten räumlichkeiten wie Besprechungs- und Schulungsräume nur WLAN oder alternativ doppelte Vernetzung.
- Vorteil: Anzahl der Datenkabel leicht erhöht, keine komplexe Lösung wie ZScaler notwendig
- Nachteil: deutlich unfelxibler bei der Nutzung der Räumlichkeiten wie eine Endgeräte bezogene Zuordnung.
c) Komplette physikalsiche Trennung der Netze im gesamten Gebäude
- Vorteil: flexible Nutzung der Räumlichkeiten durch alle GmbHs
- Nachteil: deutlich erhöhter Vernetzungsaufwand.
Gibt es noch eine Variante d, e oder f?
Ich hatte auch schon an so Szenarien gedacht, wie dass jede GmbH einen eigenen Verteilerschrank bekommt und man dann kreuz und quer in den jeweiligen Verteiler patcht. Was sich aber irgendwie nach Chaos anhört.
Alternativ könnte man natürlich auch über VLANs trennen, nur dann muss eine IT-Abteilung den Hut aufhaben und die Switche managen. Die sind sich aber untereinander nicht so grün.
Ein gemeinsames Netz ist auch wegen unterscheidlicher Anforderungen (z.B. NIS 2 etc.) aktuell nicht vorstellbar.
Jemand eine Idee, wie man die Netze intelligent trennen kann ohne komplexe und teure Lösungen wie Zscaler, etc. oder einen Riesen Aufwand an zusätzlichen Netzwerkdosen realisieren kann?
Manchmal gibt es ja smarte Lösungen, die einem aber halt noch nicht über den Weg gelaufen sind.
Ich selbst bin da nur beratend in dem Projekt, wäre aber cool wenn ich da was finden würde an das noch keiner gedacht hat.
Danke gruß Werner
ich suche nach Lösungszenarien für ein Bürogebäude mit etwas komplexeren Anforderungen an die Netzwerkinfrastruktur.
Hintergrund: Es soll ein großes Bürogebäude (ca. 300 Arbeitsplätze) gebaut werden, dass danach von einem Konzern genutzt wird. Allerdings ist der Konzern aufgeteilt in drei GmbHs die eigene IT-Abteilungen haben. Es gibt nun von den IT-Abteilungen unterschiedliche Ideen zur Realisierung der Netzwerkinfrastruktur.
Aufgrund der techn. Anforderungen an die Endgeräte ist ein reines WLAN zur Trennung der Netze der GmbHs nicht umsetzbar.
Aktuell werden folgende Lösungen diskutiert
a) Ein Netz für alle, mit einer Lösung wie Zscaler die pro Arbeitsplatz entscheidet in welche Domäne das Endgerät gehört.
- Vorteil: nur ein Netzwerk nötig
- Nachteil: Komplex und teuer und in Zukunft (siehe Broadcom) vielleicht richtig teuer
b) Etagenweise Aufteilung der Netze auf die GmbHs, in gemeinsam genutzten räumlichkeiten wie Besprechungs- und Schulungsräume nur WLAN oder alternativ doppelte Vernetzung.
- Vorteil: Anzahl der Datenkabel leicht erhöht, keine komplexe Lösung wie ZScaler notwendig
- Nachteil: deutlich unfelxibler bei der Nutzung der Räumlichkeiten wie eine Endgeräte bezogene Zuordnung.
c) Komplette physikalsiche Trennung der Netze im gesamten Gebäude
- Vorteil: flexible Nutzung der Räumlichkeiten durch alle GmbHs
- Nachteil: deutlich erhöhter Vernetzungsaufwand.
Gibt es noch eine Variante d, e oder f?
Ich hatte auch schon an so Szenarien gedacht, wie dass jede GmbH einen eigenen Verteilerschrank bekommt und man dann kreuz und quer in den jeweiligen Verteiler patcht. Was sich aber irgendwie nach Chaos anhört.
Alternativ könnte man natürlich auch über VLANs trennen, nur dann muss eine IT-Abteilung den Hut aufhaben und die Switche managen. Die sind sich aber untereinander nicht so grün.
Ein gemeinsames Netz ist auch wegen unterscheidlicher Anforderungen (z.B. NIS 2 etc.) aktuell nicht vorstellbar.
Jemand eine Idee, wie man die Netze intelligent trennen kann ohne komplexe und teure Lösungen wie Zscaler, etc. oder einen Riesen Aufwand an zusätzlichen Netzwerkdosen realisieren kann?
Manchmal gibt es ja smarte Lösungen, die einem aber halt noch nicht über den Weg gelaufen sind.
Ich selbst bin da nur beratend in dem Projekt, wäre aber cool wenn ich da was finden würde an das noch keiner gedacht hat.
Danke gruß Werner
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3196121531
Url: https://administrator.de/forum/ideale-netzwerktopologie-fuer-buerogebaeude-mit-mehreren-mietern-3196121531.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
20 Kommentare
Neuester Kommentar
Hey
Vorab, nachfolgendes spiegelt nur meine Gedanken wieder und ich hoffe es kommen bessere Vorschläge ;)
Egal, wie man es macht, man macht es verkehrt. Auf einmal sollen dann Büroflächen an einer externe Firma XY vermietet werden, weil man die Fläche selber nicht nutzt. Oder GMBH2 braucht mehr Platz und zieht deshalb in zwei Büros in GMBH1 Etage...
- Zentrales Patchfeld für die Endgeräte, das gerne nach Etagen unterteilt ist
- Zentrales Patchfeld für Glasfaser / DSL
- Daneben 3 Netzwerkschränke ( jeweils ein je GmbH ). Hier können die einzelen Gmbh's ihre Switche betreiben. Wichtig ist eine saubere Beschriftung der Kabel die vom Patchschrank in den Netzwerkschrank kommen
19 Zoll Hardware der GmbH's oder Glasfaser in dezentrale Serverräume müssen berücksichtig werden
Dieser Vorschlag funktioniert allerdings nur, wenn sich die Kabellängen einhalten lassen.
Ansonsten würde ich über ein ähnliches Konzept auf Etagenverteilebene nachdenken...
Natürlich kann man auch sehr viel mit Software / Switchtechnik lösen, aber da ist dann die Frage wer es managed und den Hut auf hat. Da finde ich die analoge Variante (erstmal) besser
Vorab, nachfolgendes spiegelt nur meine Gedanken wieder und ich hoffe es kommen bessere Vorschläge ;)
Egal, wie man es macht, man macht es verkehrt. Auf einmal sollen dann Büroflächen an einer externe Firma XY vermietet werden, weil man die Fläche selber nicht nutzt. Oder GMBH2 braucht mehr Platz und zieht deshalb in zwei Büros in GMBH1 Etage...
Ich hatte auch schon an so Szenarien gedacht, wie dass jede GmbH einen eigenen Verteilerschrank bekommt und man dann kreuz und quer in den jeweiligen Verteiler patcht. Was sich aber irgendwie nach Chaos anhört.
--> In der Tat hätte ich darüber nachgedacht...- Zentrales Patchfeld für die Endgeräte, das gerne nach Etagen unterteilt ist
- Zentrales Patchfeld für Glasfaser / DSL
- Daneben 3 Netzwerkschränke ( jeweils ein je GmbH ). Hier können die einzelen Gmbh's ihre Switche betreiben. Wichtig ist eine saubere Beschriftung der Kabel die vom Patchschrank in den Netzwerkschrank kommen
19 Zoll Hardware der GmbH's oder Glasfaser in dezentrale Serverräume müssen berücksichtig werden
Dieser Vorschlag funktioniert allerdings nur, wenn sich die Kabellängen einhalten lassen.
Ansonsten würde ich über ein ähnliches Konzept auf Etagenverteilebene nachdenken...
Natürlich kann man auch sehr viel mit Software / Switchtechnik lösen, aber da ist dann die Frage wer es managed und den Hut auf hat. Da finde ich die analoge Variante (erstmal) besser
Moin,
Das wäre meine Lösung und so chaotisch ist das gar nicht.
Serverraum:
Je GmbH ein Schrank mit Glasfaserswitch. Hier werden die Server und die Etagenswitche angebunden.
Etagenverteilerräume
Ein Schrank, je GmbH ein Etagenswitch und die Patchfelder für die Büros.
Nun kann jeder auf jede Dose in jedem Büro patchen, wie es gerade notwendig ist.
Liebe Grüße
Erik
Zitat von @Werner65MZ:
Ich hatte auch schon an so Szenarien gedacht, wie dass jede GmbH einen eigenen Verteilerschrank bekommt und man dann kreuz und quer in den jeweiligen Verteiler patcht. Was sich aber irgendwie nach Chaos anhört.
Ich hatte auch schon an so Szenarien gedacht, wie dass jede GmbH einen eigenen Verteilerschrank bekommt und man dann kreuz und quer in den jeweiligen Verteiler patcht. Was sich aber irgendwie nach Chaos anhört.
Das wäre meine Lösung und so chaotisch ist das gar nicht.
Serverraum:
Je GmbH ein Schrank mit Glasfaserswitch. Hier werden die Server und die Etagenswitche angebunden.
Etagenverteilerräume
Ein Schrank, je GmbH ein Etagenswitch und die Patchfelder für die Büros.
Nun kann jeder auf jede Dose in jedem Büro patchen, wie es gerade notwendig ist.
Liebe Grüße
Erik
Hi,
ich würde c.) nehmen schon alleine wegen der Haftungsfrage und sicher vorher einen Anwalt fragen wie sich das z.B. bei einem verschlüsselungstrojaner bei fälschlich verbundenem Patchfeld monetär verhält ;)
Ansonsten würde ich d.) nehmen:
per NAC auf Vlan's aufteilen aber das setzt vorraus das man die Switche incl. Dienstleistung dafür mitvermietet und sehr wahrscheinlich viel zu viele teure poe ports kaufen muss.
Gruß
ich würde c.) nehmen schon alleine wegen der Haftungsfrage und sicher vorher einen Anwalt fragen wie sich das z.B. bei einem verschlüsselungstrojaner bei fälschlich verbundenem Patchfeld monetär verhält ;)
Ansonsten würde ich d.) nehmen:
per NAC auf Vlan's aufteilen aber das setzt vorraus das man die Switche incl. Dienstleistung dafür mitvermietet und sehr wahrscheinlich viel zu viele teure poe ports kaufen muss.
Gruß
Moin,
ebenfalls +1 für komplette physische Trennung der Kabel. Denn tatsächlich ist es ja so, dass eine Immobilie in der Regel ihre Erstnutzer "überlebt", und mit neuen Anforderungen (neue Nutzer, Verkauf der Immobilie, oder, bei derzeitiger Planung, plötzlich eine 4. GmbH...) würden dann neue Kabel benötigt. Also 1x am Anfang ganz viel verkabeln und fertig. Und das flexible Patchen und Switchen dann so, wie oben von den Kollegen skizziert.
WLAN: das wird sich dann aufgrund der Einheitlichkeit des Gebäudes gar nicht anders lösen lassen, als dass es überlappende Funkzellen gibt. Da sollten sich also wegen der Überschneidung die IT-Abteilungen ein wenig bei den genutzten Kanälen absprechen.
APs wiederum: da kommen jeweils eigene Kabel hin und fertig, denn wenn Flur A GmbH1 zugeordnet ist, reicht ja ein Kabel.
Bedenkenswert ist es nur bei Multifunktionsräumen wie Besprechungsräumen: wenn die IT-Abteilungen sich nicht einmal soweit absprechen können, dass der dort vorhandene AP mit MultiSSID und VLAN für alle GmbHs zusammen genutzt wird, dann müssen hier mind. so viele APs und Zuleitungen hin, wie Nutzer geplant sind, also derzeit 3 APs und 3 Zuleitungen. Dann hat jeder sein Endgerät unter Kontrolle. Ohne WLAN würde ich Besprechungsräume nicht planen.
Gruß
DivideByzero
ebenfalls +1 für komplette physische Trennung der Kabel. Denn tatsächlich ist es ja so, dass eine Immobilie in der Regel ihre Erstnutzer "überlebt", und mit neuen Anforderungen (neue Nutzer, Verkauf der Immobilie, oder, bei derzeitiger Planung, plötzlich eine 4. GmbH...) würden dann neue Kabel benötigt. Also 1x am Anfang ganz viel verkabeln und fertig. Und das flexible Patchen und Switchen dann so, wie oben von den Kollegen skizziert.
WLAN: das wird sich dann aufgrund der Einheitlichkeit des Gebäudes gar nicht anders lösen lassen, als dass es überlappende Funkzellen gibt. Da sollten sich also wegen der Überschneidung die IT-Abteilungen ein wenig bei den genutzten Kanälen absprechen.
APs wiederum: da kommen jeweils eigene Kabel hin und fertig, denn wenn Flur A GmbH1 zugeordnet ist, reicht ja ein Kabel.
Bedenkenswert ist es nur bei Multifunktionsräumen wie Besprechungsräumen: wenn die IT-Abteilungen sich nicht einmal soweit absprechen können, dass der dort vorhandene AP mit MultiSSID und VLAN für alle GmbHs zusammen genutzt wird, dann müssen hier mind. so viele APs und Zuleitungen hin, wie Nutzer geplant sind, also derzeit 3 APs und 3 Zuleitungen. Dann hat jeder sein Endgerät unter Kontrolle. Ohne WLAN würde ich Besprechungsräume nicht planen.
Gruß
DivideByzero
Wenn die sich alle nicht so grün sind, und es keine "obere IT" gibt die über den GmbHs steht, würde ich das auch entweder komplett physikalisch trennen oder einen externen Dienstleister mit der Infrastruktur (L2 + WLAN) beauftragen.
Jede GmbH übergibt dann ihre VLANs an die Infratstruktur des Dienstleisters und sagt dann nur noch "Ich brauche VLAN X an Port Y" oder "Ich brauche WLAN mit VLAN W an Standort Z"
(-> Möglich wäre auch, dass der Dienstleister WLAN mit802.1X anbietet mit entsprechender Schnittstelle zur Accountverwaltung durch den Nutzer selber... Spart einige SSIDs)
Natürlich bekommt dann jede seinen eigenen Vlan-ID-Bereich.
Der Dienstleister muss dann natürlich auch alle Anforderungen an die Informationssicherheit erfüllen (wie z.B. NIS 2). Vielleicht gibt es ja schon eine gemeinsame Service-GmbH, irgendeiner muss das Gebäude ja gebaut haben.
Jede GmbH übergibt dann ihre VLANs an die Infratstruktur des Dienstleisters und sagt dann nur noch "Ich brauche VLAN X an Port Y" oder "Ich brauche WLAN mit VLAN W an Standort Z"
(-> Möglich wäre auch, dass der Dienstleister WLAN mit802.1X anbietet mit entsprechender Schnittstelle zur Accountverwaltung durch den Nutzer selber... Spart einige SSIDs)
Natürlich bekommt dann jede seinen eigenen Vlan-ID-Bereich.
Der Dienstleister muss dann natürlich auch alle Anforderungen an die Informationssicherheit erfüllen (wie z.B. NIS 2). Vielleicht gibt es ja schon eine gemeinsame Service-GmbH, irgendeiner muss das Gebäude ja gebaut haben.
Moin,
Das würde mich wahnsinnig machen, wenn ich wegen so einer leichten Aufgabe einen DL anrufen müsste, ein Ticket eröffnen und dann noch warten, bis es endlich erledigt ist. Vor allem dann, wenn der User neben mir steht und fragt, wann er denn endlich arbeiten kann.
Liebe Grüße
Erik
Zitat von @bitnarrator:
Jede GmbH übergibt dann ihre VLANs an die Infratstruktur des Dienstleisters und sagt dann nur noch "Ich brauche VLAN X an Port Y" oder "Ich brauche WLAN mit VLAN W an Standort Z"
Jede GmbH übergibt dann ihre VLANs an die Infratstruktur des Dienstleisters und sagt dann nur noch "Ich brauche VLAN X an Port Y" oder "Ich brauche WLAN mit VLAN W an Standort Z"
Das würde mich wahnsinnig machen, wenn ich wegen so einer leichten Aufgabe einen DL anrufen müsste, ein Ticket eröffnen und dann noch warten, bis es endlich erledigt ist. Vor allem dann, wenn der User neben mir steht und fragt, wann er denn endlich arbeiten kann.
Liebe Grüße
Erik
Ist wie bereits geschrieben halt abhänig von den Kabellängen, ansonsten hat @erikro die Alternative über die Etagen schön beschrieben und wäre vermutlich der Weg der Praxis... und die Hinweise von @DivideByZero bezüglich des WLAN's und Besprechungsräume sollte man natürlich auch im Hinterkopf behalten
ZScaler +1
ich glaube hier im Forum tummeln sich viele "konservative" Admins und weniger "Technik-Hipster" rum. Nur weil's digitaler ist, ist es nicht besser...
Moin
Je nachdem wie viele Komponenten ein ein Rack müssen (und welcher Platz zur Verfügung steht) könnten bei getrennten Netzen auch sogenannte Colocation Racks (bspw. Rittal) eingesetzt werden. Da hat jede GmbH ihr eigenes Fach.
In deiner Problemstellung ist ja der innere Aufbau erfasst - wie schaut die Ansicht nach außen, sprich die WAN-Anbindung aus? Teilen sich die Firmen einen Anschluss? Jeder seinen eigenen? Multi-WAN-Konzept? Verteidigungsmechanismen...
Es bleibt auf alle Fälle spannend.
Gruß
TA
Ich hatte auch schon an so Szenarien gedacht, wie dass jede GmbH einen eigenen Verteilerschrank bekommt und man dann kreuz und quer in den jeweiligen Verteiler patcht. Was sich aber irgendwie nach Chaos anhört.
Je nachdem wie viele Komponenten ein ein Rack müssen (und welcher Platz zur Verfügung steht) könnten bei getrennten Netzen auch sogenannte Colocation Racks (bspw. Rittal) eingesetzt werden. Da hat jede GmbH ihr eigenes Fach.
In deiner Problemstellung ist ja der innere Aufbau erfasst - wie schaut die Ansicht nach außen, sprich die WAN-Anbindung aus? Teilen sich die Firmen einen Anschluss? Jeder seinen eigenen? Multi-WAN-Konzept? Verteidigungsmechanismen...
Es bleibt auf alle Fälle spannend.
Gruß
TA
"W"LAN wäre ja infrastrukturtechnischer Blödsinn bezogen auf das was du vorhast, denn damit "trennt" man ja physikalisch keine Netzwerksegmente. Es sei denn man richtet hier auch 3mal eine komplett getrennte WLAN Infrastruktur ein.
Dir geht es ja primär sowohl um eine physische Trennung als auch eine vollständige Management Trennung dieser 3 Firmennetze, egal welche Infrastruktur, wenn man dich richtig versteht.
Wenn VLANs und VRFs kein Thema sind wegen entsprechender o.a. Security Anforderungen und auch wegen des Management Streitthemas hast du keine Chance.
Dann bleibt dir, wie oben schon mehrfach gesagt, nichts anderes übrig als 3 getrennte Infrastrukturen aufzubauen.
Wäre ja dann auch nichts anderes als wenn 3 völlig unterschiedliche Firmen in das Gebäude einziehen. Auch da betreibt ja dann jeder "seinen eigenen Schrank"!
Das sind alles Billo Lösungen. Mit entsprechend hochpreisiger Infrastruktur Hardware und z.B. einer IP Fabric und eVPNs usw. kann man auch eine Tennant basierte Lösung auf einer gemeinsamen Infrastruktur einrichten (SDN). Sowas lässt sich aber natürlich nicht mit Billo HW ala TP-Link und Konsorten realisieren.
Wenn der Auftraggeber schon bei popeligem Kabel kalte (Kosten)Füße bekommt kannst du so eine eigentlich sinnvolle Lösung auch gleich verwerfen.
Fragt sich dann im Endeffekt was wirklich besser ist. 3mal Billo oder einmal eine Tennant basierte Lösung?!
Dir geht es ja primär sowohl um eine physische Trennung als auch eine vollständige Management Trennung dieser 3 Firmennetze, egal welche Infrastruktur, wenn man dich richtig versteht.
Wenn VLANs und VRFs kein Thema sind wegen entsprechender o.a. Security Anforderungen und auch wegen des Management Streitthemas hast du keine Chance.
Dann bleibt dir, wie oben schon mehrfach gesagt, nichts anderes übrig als 3 getrennte Infrastrukturen aufzubauen.
Wäre ja dann auch nichts anderes als wenn 3 völlig unterschiedliche Firmen in das Gebäude einziehen. Auch da betreibt ja dann jeder "seinen eigenen Schrank"!
Das sind alles Billo Lösungen. Mit entsprechend hochpreisiger Infrastruktur Hardware und z.B. einer IP Fabric und eVPNs usw. kann man auch eine Tennant basierte Lösung auf einer gemeinsamen Infrastruktur einrichten (SDN). Sowas lässt sich aber natürlich nicht mit Billo HW ala TP-Link und Konsorten realisieren.
Wenn der Auftraggeber schon bei popeligem Kabel kalte (Kosten)Füße bekommt kannst du so eine eigentlich sinnvolle Lösung auch gleich verwerfen.
Fragt sich dann im Endeffekt was wirklich besser ist. 3mal Billo oder einmal eine Tennant basierte Lösung?!
Zitat von @erikro:
Das würde mich wahnsinnig machen, wenn ich wegen so einer leichten Aufgabe einen DL anrufen müsste, ein Ticket eröffnen und dann noch warten, bis es endlich erledigt ist. Vor allem dann, wenn der User neben mir steht und fragt, wann er denn endlich arbeiten kann.
Liebe Grüße
Erik
Das würde mich wahnsinnig machen, wenn ich wegen so einer leichten Aufgabe einen DL anrufen müsste, ein Ticket eröffnen und dann noch warten, bis es endlich erledigt ist. Vor allem dann, wenn der User neben mir steht und fragt, wann er denn endlich arbeiten kann.
Liebe Grüße
Erik
Schonmal in Deutschen Großkonzernen gearbeitet? Da dauert das locker 5 Werktage bis ein Port geschaltet ist.
- Ticket an das Netzwerkteam
- Das Netzwerkteam an das Facility Management
- Facility Management an den zuständigen Facility-Management Dienstleister
- Facility-Management-Dienstleister an den zuständigen Kabeldienstleister
- Kabeldienstleister kommt und patcht
Wenn du pech hast, ist deine Mac in der Zeit wegen inaktivität gesperrt und du darfst diese seperat freischalten lassen (Dann über Indien)
Alles schon gesehen, mehrfach
Moin,
Genau das ist es, was mich wahnsinnig macht.
Zitat von @bitnarrator:
Schonmal in Deutschen Großkonzernen gearbeitet? Da dauert das locker 5 Werktage bis ein Port geschaltet ist.
- Ticket an das Netzwerkteam [...]
Zitat von @erikro:
Das würde mich wahnsinnig machen, wenn ich wegen so einer leichten Aufgabe einen DL anrufen müsste, ein Ticket eröffnen und dann noch warten, bis es endlich erledigt ist. Vor allem dann, wenn der User neben mir steht und fragt, wann er denn endlich arbeiten kann.
Das würde mich wahnsinnig machen, wenn ich wegen so einer leichten Aufgabe einen DL anrufen müsste, ein Ticket eröffnen und dann noch warten, bis es endlich erledigt ist. Vor allem dann, wenn der User neben mir steht und fragt, wann er denn endlich arbeiten kann.
Schonmal in Deutschen Großkonzernen gearbeitet? Da dauert das locker 5 Werktage bis ein Port geschaltet ist.
- Ticket an das Netzwerkteam [...]
Genau das ist es, was mich wahnsinnig macht.
Moin,
@aqui
+1 für separate Infrastruktur. Die Colocation-Cabinets fielen mir auch spontan ein…
@aqui
… Mit entsprechend hochpreisiger Infrastruktur Hardware und z.B. einer IP Fabric und eVPNs usw. kann man auch eine Tennant basierte Lösung auf einer gemeinsamen Infrastruktur einrichten (SDN).
Geht aber nur, wenn es eine übergeordnete Firma gibt, die initial die Kosten trägt und dann - nach welchem Schlüssel auch immer - die Kosten dann umlenkt.+1 für separate Infrastruktur. Die Colocation-Cabinets fielen mir auch spontan ein…
Grüße allseits,
ich bin zufällig hier reingesurft und dies ist mein erster Beitrag
Wurde hier schon macmon nac genannt ?
https://www.macmon.eu/produkte/network-access-control/funktionen
Meine Empfehlung: ein einheitliches Netz, Trennung durch VLANs, automatische Zuordnung der Endgeräte durch macmon.
Einrichtung (und Pflege) von macmon, der Backbone- und Endgeräte Switche durch einen externen Netzwerk-DL.
Die Übergabe-Ports von den Backbone-Switchen auf die Server-Switche der einzelnen GmbHs werden vom DL fest eingestellt, was dann die GmbHs auf ihren Server-Switchen spielen ist deren Sache.
Mit der Verwaltung der einzelnen Clients hat der DL aber nichts zu tun.
Jede der sich nicht grünen IT-Abteilungen bekommt einen kleinen Konfigurations-Switch² ins Büro, dessen Ports werden als "TRUST"-Ports der eigenen VLANs definiert.
Wenn nun ein Endgerät daran angeschlossen wird, lernt macmon dessen MAC und in welche Gruppe/welches VLAN es gehört.
Danach kann es an beliebigen Endgeräte-Ports im Haus angeschlossen werden.
Macmon registriert die MAC des Endgerätes am Netzwerkswitch, erkennt in welche Gruppe/VLAN es gehört und stellt den Port auf das entsprechende VLAN um.
Hochflexibel, sicher und dennoch kann die Endgeräte-Pflege ohne DL Unterstützung durch die einzelnen GmbH-ITs erfolgen.
² Wir haben einen 8 Port Switch, jeder Port ist als TRUST-Port eines anderen VLANs eingestellt.
Neue PCs/TCs/Drucker/OT-PCs werden dort im Rahmen der Grundinstallation einmalig angelernt und dann in die Werke ausgeliefert.
Ursprünglich haben wir macmon aus Security Überlegungen eingeführt: Unbekannte / fremde Endgeräte und auch z.Bsp. Access-Points (!) landen im Sperrnetz und haben keinen Zugriff auf irgendwelche Ressourcen.
Wenn macmon einmal eingerichtet ist, läuft es im Hintergrund und braucht sehr wenig Wartung.
Es ist einer meiner Lieblingswerkzeuge
Hoffe ich konnte beitragen.
LG
Andreas
ich bin zufällig hier reingesurft und dies ist mein erster Beitrag
Wurde hier schon macmon nac genannt ?
https://www.macmon.eu/produkte/network-access-control/funktionen
Meine Empfehlung: ein einheitliches Netz, Trennung durch VLANs, automatische Zuordnung der Endgeräte durch macmon.
Einrichtung (und Pflege) von macmon, der Backbone- und Endgeräte Switche durch einen externen Netzwerk-DL.
Die Übergabe-Ports von den Backbone-Switchen auf die Server-Switche der einzelnen GmbHs werden vom DL fest eingestellt, was dann die GmbHs auf ihren Server-Switchen spielen ist deren Sache.
Mit der Verwaltung der einzelnen Clients hat der DL aber nichts zu tun.
Jede der sich nicht grünen IT-Abteilungen bekommt einen kleinen Konfigurations-Switch² ins Büro, dessen Ports werden als "TRUST"-Ports der eigenen VLANs definiert.
Wenn nun ein Endgerät daran angeschlossen wird, lernt macmon dessen MAC und in welche Gruppe/welches VLAN es gehört.
Danach kann es an beliebigen Endgeräte-Ports im Haus angeschlossen werden.
Macmon registriert die MAC des Endgerätes am Netzwerkswitch, erkennt in welche Gruppe/VLAN es gehört und stellt den Port auf das entsprechende VLAN um.
Hochflexibel, sicher und dennoch kann die Endgeräte-Pflege ohne DL Unterstützung durch die einzelnen GmbH-ITs erfolgen.
² Wir haben einen 8 Port Switch, jeder Port ist als TRUST-Port eines anderen VLANs eingestellt.
Neue PCs/TCs/Drucker/OT-PCs werden dort im Rahmen der Grundinstallation einmalig angelernt und dann in die Werke ausgeliefert.
Ursprünglich haben wir macmon aus Security Überlegungen eingeführt: Unbekannte / fremde Endgeräte und auch z.Bsp. Access-Points (!) landen im Sperrnetz und haben keinen Zugriff auf irgendwelche Ressourcen.
Wenn macmon einmal eingerichtet ist, läuft es im Hintergrund und braucht sehr wenig Wartung.
Es ist einer meiner Lieblingswerkzeuge
Hoffe ich konnte beitragen.
LG
Andreas
Zitat von @bitnarrator:
Der Dienstleister muss dann natürlich auch alle Anforderungen an die Informationssicherheit erfüllen (wie z.B. NIS 2). Vielleicht gibt es ja schon eine gemeinsame Service-GmbH, irgendeiner muss das Gebäude ja gebaut haben.
Der Dienstleister muss dann natürlich auch alle Anforderungen an die Informationssicherheit erfüllen (wie z.B. NIS 2). Vielleicht gibt es ja schon eine gemeinsame Service-GmbH, irgendeiner muss das Gebäude ja gebaut haben.
Einen Schritt weiter: die IT Abteilungen auflösen und daraus eine neue IT GmbH gründen. Diese "verkauft" dann ihre Dienstleistung an die anderen drei GmbH. Der höchste Sicherheitsstandard definiert die Mindestanforderungen.
Zitat von @AZander:
Wurde hier schon macmon nac genannt ?
https://www.macmon.eu/produkte/network-access-control/funktionen
Meine Empfehlung: ein einheitliches Netz, Trennung durch VLANs, automatische Zuordnung der Endgeräte durch macmon.
Wurde hier schon macmon nac genannt ?
https://www.macmon.eu/produkte/network-access-control/funktionen
Meine Empfehlung: ein einheitliches Netz, Trennung durch VLANs, automatische Zuordnung der Endgeräte durch macmon.
+1
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?