Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Netzwerk Gebäudeübergreifend strukturieren

Mitglied: Pannas

Pannas (Level 1) - Jetzt verbinden

16.11.2013, aktualisiert 19:35 Uhr, 2973 Aufrufe, 18 Kommentare

Hallo zusammen,

nachfolgend die Ausgangssituation als Netzwerkdiagramm: 9dffb2c0ae2f61040025d17e3dcdddcf - Klicke auf das Bild, um es zu vergrößern

Gewünscht ist nun ein weiteres Productions-Subnetz, dass zur Betriebs- und Maschinendatenerfassung dienen soll. Der Server soll vom Office sowie vom Productionsnetzwerk erreichbar sein. Die Clients untereinander (Office <-> Production) sollen NICHT kommunizieren können. Die Clients aus den beiden Productionsnetzwerken jedoch schon! Gedacht war das ganze über Multihoming mit zwei NICs im Server, eine im Office-Netz und eine im Productionsnetz. Das Problem ist nun das Gebäudeübergreifend zu lösen, Multihoming fällt also flach. Hier habe ich mir den Einsatz von Firewalls vorgestellt, die die Kommunikation auf den Server beschränken: aa7ab83eb42ebd4aff849868452c8e1e - Klicke auf das Bild, um es zu vergrößern Zufriedenstellen tut mich die Lösung aber nicht. :-S Der Core-Switch ist der einzige VLAN-Fähige Switch. Die Netzwerke sollen jedoch Hardwaretechnisch unabhängig voneinander administrierbar sein, da dies durch unterschiedliche Personen erfolgt. Daher ist eine reine VLAN-Lösung mit Komponenten die für beide Netzwerke zuständig sind so nicht gewünscht.

Hat jemand von euch eine Idee wie das ganze geschickter gelöst werden kann? Mir fällt leider keine andere Kostengünstige Lösung ein, ausser ein zweites Kabel zum Gebäude2 zu ziehen.

Freue mich auf Antworten.

Mitglied: Lochkartenstanzer
16.11.2013 um 19:24 Uhr
Moin,

Was spricht dagegen, die beiden Produktionsnetze direkt miteinander zu verbinden.

lks

PS: Man kann hier auch Bilder in den beitrag einfügebn. Da muß man dann nciht auf irgendwelche zweifelhafte Seiten.
Bitte warten ..
Mitglied: Pannas
16.11.2013 um 19:40 Uhr
Hallo Lochkartenstanzer,

Zitat von Lochkartenstanzer:

PS: Man kann hier auch Bilder in den beitrag einfügebn. Da muß man dann nciht auf irgendwelche zweifelhafte Seiten.
Gar nicht gesehen, dass das hier möglich ist. Hab den Beitrag aktualisiert.

Zitat von Lochkartenstanzer:

Was spricht dagegen, die beiden Produktionsnetze direkt miteinander zu verbinden.
Meinst du die beiden Productionsnetzwerke oder Production und Office? Wenn du die Productionsnetzwerke meinst, ist das Problem, dass wir keine zweite Leitung ziehen möchten wenn nicht notwendig (aus Kostengründen) und das Gebäude ebenfalls am Office-Netz hängt.
Bitte warten ..
Mitglied: Lochkartenstanzer
16.11.2013, aktualisiert um 19:49 Uhr
Zitat von Pannas:

Wenn du die Productionsnetzwerke meinst, ist das Problem,
dass wir keine zweite Leitung ziehen möchten wenn nicht notwendig (aus Kostengründen) und das Gebäude ebenfalls am
Office-Netz hängt.

Ihr habe nur eine Leitung? Was macht Ihr, wenn da mal eine Maus dran knabbert? Normalerweise legt man da mindestens zwei Leitungen zwecks Ausfallsicherheit, wenn man so etwas plant

Aber Du könntest auch eine "virtuelle" Leitung zwischen den Production-Netzen legen per VPN. Ob IPSEC oderSSL ist vermutlich unerheblich. Sofern Du ordentliche Firewall zwischen den jeweiligen Produktiv- und Office-Netzen hast, solle das eine Sache von Minuten sein.

lks
Bitte warten ..
Mitglied: Pannas
16.11.2013 um 20:05 Uhr
Zitat von Lochkartenstanzer:

Ihr habe nur eine Leitung? Was macht Ihr, wenn da mal eine Maus dran knabbert? Normalerweise legt man da mindestens zwei Leitungen
zwecks Ausfallsicherheit, wenn man so etwas plant
Korrekt. Ist auch schon passiert. Auf Redundanz wird kein Wert gelegt. Das Netzwerk ist generell etwas unstrukturiert.

Aber Du könntest auch eine "virtuelle" Leitung zwischen den Production-Netzen legen per VPN. Ob IPSEC oderSSL ist
vermutlich unerheblich. Sofern Du ordentliche Firewall zwischen den jeweiligen Produktiv- und Office-Netzen hast, solle das eine
Sache von Minuten sein.
Ändert aber nichts an meiner momentanen Planung und der Erweiterung um Router und Firewall (die eigentlich nur ein paar Host Regeln braucht), welchen Vorteil siehst du nun durch das VPN?
Bitte warten ..
Mitglied: aqui
16.11.2013, aktualisiert um 20:20 Uhr
Ein klassisches Switch Design sähe so aus:

e2b75ce5cbdc8294c56f44c74324ad0d-switchnetz - Klicke auf das Bild, um es zu vergrößern

Wobei das Stacking der 2 Core Switches (idealerweise L3 Switches) auch 2 separates im HA Design sein können. Letzteres wird aber heute zunehmend durch sog. "horizontal stacking" ersetzt, da es erhebliche technische Vorteile gegenüber 2 separaten Core Switches hat.
Damit hättest du dann ein HA Szenario und eine vollständige Redundanz wie es für Firmennetz heutzutage durchweg üblich ist. Wenn du nur ein einziges Faserpaar oder Cu Leitung für die Gebäudeanbindung hast wird daraus natürlich nichts. Die generelle Frage ist dann ob du das nachrüsten kannst oder nicht.
Wenn nicht muss man, sofern Redundanz überhaupt erwünscht und erforderlich ist, dann andere Techniken nutzen die oben schon angesprochen sind um ein Minimalmaß an Redundanz zu bekommen.
Wie gesagt…nur sofern das überhaupt gewünscht und erforderlich ist.
Bitte warten ..
Mitglied: Pannas
16.11.2013, aktualisiert um 20:45 Uhr
Hallo ihr beiden,

danke auch dir für deine Antwort aqui. Ich glaube ich habe mich missverständlich ausgedrückt. Es geht nicht darum, das Netzwerk nachträglich um die Redundanz zu erweitern. Sondern um ein Produktionssubnetz (getrennte Broadcast-Domäne und kein Zugriff auf Firmennetz durch Clients) Gebäudeübergreifend (LWL) zu erweitern (siehe oben) ohne, dass für das einfache Szenario extra 2 teure Hardware-Firewalls notwendig sind. Vielleicht über ein geschickteres Routing oder so.

Ich hoffe, dass meine Frage nun klarer Verständlich ist.
Bitte warten ..
Mitglied: aqui
16.11.2013, aktualisiert um 20:53 Uhr
Ahhh…ok, sorry. Gut, das ist bei deinem bestehenden Design ja dann recht einfach !
Du hast ja, so wie es nach deiner Zeichnung oben aussieht, ein L3 Switch (Routing Switch) im Gebäude 1 in Betrieb, da du ja von da auf verschiedene IP Segmente segmentierst.
Was du dann machst ist schlicht und einfach auf dem L3 Switch ein weiteres VLAN zu erzeugen und das neue Produktionsnetz da in das VLAN anzuhängen. Fertig ist der Lack…
Für das Blocking zum Firmennetz setzt du auf dem L3 Switch dann ganz einfach eine L3 IP Accessliste auf am Switchport.
Eine Sache von 3 Minuten und dann sollte das laufen. Ein simpler Netzwerk Klassiker…
Falls du mehr Trennung als eine simple IP Accessliste benötigst, kommst du um eine kleine Firewall nicht drumrum wie z.B. diese hier:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: Pannas
16.11.2013, aktualisiert 17.11.2013
Hallo aqui,

Fast! Aber nah dran. Ich beschreibe es dir am besten noch einmal:

Ausgangssituation:
Der eingezeichnete Router in Gebäude1 ist ein Router/Modem für den ADSL Anschluss. Auf dem Switch erfolgt keine Segmentierung die 192.168.1.0/24 gelten für beide Gebäude. Die LWL wird nach dem Medienkonverter direkt von Switch zu Switch geschliffen. Der Switch ist allerdings wirklich, wenn auch der einzige, L3 Switch. Daher sehe ich hier keine Möglichkeit für VLans. Der Austausch der anderen Switche gegen L3-Switche möchte ich nicht, da die Hardware unabhängig voneinander sein soll (siehe oben Ausführungen unterschiedliche Personen).

Erweiterung der Produktion:
Nun soll noch ein Produktionsnetzwerk dazu kommen (192.168.1.1/24), der Server soll von beiden Netzwerken aus erreichbar sein (Produktion und Office) ein direkt Zugriff Office<->Produktion soll nicht erfolgen. Hierzu wollte ich auch die Firewalls die den Zugriff einschränken. Ein Zugriff zwischen Produktion<->Produktion sollte möglich sein.

Die Strippe zwischen den beiden Gebäuden wird/soll für beide Netze genutzt.

Ich hoffe, nun ist es verständlich. Sonst einfach fragen.
Bitte warten ..
Mitglied: MrNetman
17.11.2013, aktualisiert 18.11.2013
Nach deiner Zeichnugn hast du mehr als einen Router oder L3 Switch.
Wenn du den Dingen/Geräten Namen gibst, wie SW11 (Gebäude1) oder SW21 (Gebäude2), dann kann man sich schon mal was vorstellen.
Aber selbst mit managebaren L2 Switchen solltest du deine Anforderugen umsetzen können. Dann reicht auch ein L3 Switch und ein Internetrouter. Und für die Zugriffskontrolle hast du Firewalls und den L3-Switch.

Momentan und nach deinen Beschreibungen sieht es so aus, als ob du drei IP-Segmente in ein und dem selben Subnetz betreibst.
Die Netzwerke sollen jedoch Hardwaretechnisch unabhängig voneinander administrierbar sein, da dies durch unterschiedliche Personen erfolgt.
Der Satz macht mich stutzig.

Entweder gehören die zusammen oder nicht.
Aber es gibt Hardware, der kann man eingeschränkte Administrationsrechte geben. Damit können unterschiedliche Personen unterschiedliche Dinge erledigen ohne das Gesamtnetz zu blockieren. Für so was braucht man natürlich auch die HW-Infos und deren Firmwarestände.

Gruß
Netman
Bitte warten ..
Mitglied: Lochkartenstanzer
17.11.2013, aktualisiert um 13:08 Uhr
Moin,

laß mich das mal in meine Worte fassen, vielleicht reden wir dann vom selben Netzwerk:

  • Du hast ein gebäudeübergreifendes Netz für das Office 192.168.1.0/24
  • Du hast das linke Produktionsnetz 192.168.2.0/24, das üeb eine Firewall an 192.168.1.0/24 hängt
  • Du hast das rechte Produktionsnetz 192.168.3.0/24, daß auch über eine eigene Firewall an 192.168.1.0/24 allerdings im anderen gebäude hängt.

Ist das so korrekt?

Wenn ja:

  • Dann ist die Zeichnung mßverständlich
  • Du vernindest einfach die beiden Firewall per VPN und regelst durch einer dieser beiden, wwer wohin zugreifen darf.
  • die andere Firewall letet den traffic einfach nur zur anderen weiter.

Wenn nein:

Dann erläutere mal die einzelnen switche und Firewalls in den jeweiligen Produktionsnetzen. (bezeichnungenund Netze hinschreiben).

lks
Bitte warten ..
Mitglied: Pannas
17.11.2013, aktualisiert um 13:47 Uhr
Hallo MrNetman und Lochkartenstanzer,

Zitat von MrNetman:

Nach deiner Zeichnugn hast du mehr als einen Router oder L3 Switch.
Das was du beschreibst ist meine Vorstellung. Auf dem 1 „Diagramm“ siehst du nur den (L3)Switch, Hub und die Modem/Router Kombination fürs Internet.

Allerdings sehe ich gerade, dass die beiden Grafiken vertauscht sind. Stell sie dir umgekehrt vor, vllt. hilft das zum Verständnis.

Zitat von MrNetman:

Aber selbst mit managebaren L2 Switchen solltest du deine Anforderungen umsetzen können. Dann reicht auch ein L3 Switch und
ein Internetrouter. Und für die Zugriffskontrolle hast du Firewalls und den L3-Switch.
Das ist der Punkt. Leider sind die anderen Switche alle unmanaged und für das VLAN müsste doch zumindest der Haupt-Switch in Gebäude2 managed sein um von dort aus noch mal die VLANs auf die Ports/unmanaged Switchs zu verteilen.

Zitat von MrNetman:

Entweder gehören die zusammen oder nicht.
Aber es gibt Hardware, der kann man eingeschränkte Administraionsrechte geben. Damit können untershciedliche Personen
unterhsciedliche dinge erledigen ohen das Gesamtnetz zu blockieren. Für so was brasucht man natürlich auch die HW-Infos
und deren Firmwarestände.
Bei dem vorgestellten Aufbau ist das Firmennetz unabhängig konfigurierbar von dem Produktionsnetz. Das meine ich damit.

Zitat von Lochkartenstanzer:

  • Du hast ein gebäudeübergreifendes Netz für das Office 192.168.1.0/24
  • Du hast das linke Produktionsnetz 192.168.2.0/24, das üeb eine Firewall an 192.168.1.0/24 hängt
  • Du hast das rechte Produktionsnetz 192.168.3.0/24, daß auch über eine eigene Firewall an 192.168.1.0/24 allerdings im
anderen gebäude hängt.

Ist das so korrekt?
Das ist absolut korrekt. So habe ich es gemeint!

Zitat von Lochkartenstanzer:
  • Du vernindest einfach die beiden Firewall per VPN und regelst durch einer dieser beiden, wwer wohin zugreifen darf.
  • die andere Firewall letet den traffic einfach nur zur anderen weiter.
Das mindert zwar den Administrations nicht aber den Hardware-Aufwand. Die HW-Firewalls/Router sind leider nicht so günstig und das Budget nicht so groß. Hinzu kämen ja auch noch mindestens die Switche.
Bitte warten ..
Mitglied: Lochkartenstanzer
17.11.2013, aktualisiert 18.11.2013
Zitat von Pannas:

Das mindert zwar den Administrations nicht aber den Hardware-Aufwand. Die HW-Firewalls/Router sind leider nicht so günstig
und das Budget nicht so groß. Hinzu kämen ja auch noch mindestens die Switche.

Dem Menschen kann abgeholfen werden:

Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät

Bei den switchen sparen lohnt nicht.

lks

Nachtrag:

Man köntne die Firewalls sogar so konfigueiren, daß nur die Kommunikation zwischen den Produktivnetzen üebr das VPn geht udn ansonsten über identische Regeln auf beiden die Kommunikation zu dem Büronetz und ins Internet regeln. Damit würde man vermeiden, daß Pakete mehrmals die Verbindung zwischen den beiden Gebäuden durchlaufen müssen.
Bitte warten ..
Mitglied: Pannas
17.11.2013, aktualisiert um 17:29 Uhr
Hallo,

danke für den Link. Wenn ich mir das alles so recht überlege ist ein VLAN vielleicht doch die Vernünftigere, wenn auch in dem Fall nicht optimale, Lösung. So brauch man nicht jedes mal ein neues Subnetz, extra Hardware und (DHCP, ..)-Relais wenn eine neue Halle dazu kommt.
Bitte warten ..
Mitglied: aqui
18.11.2013 um 09:26 Uhr
Ja, das macht Sinn gerade auch wenn man so gut ausgestattet ist wie du mit einem L3 Core Switch der einem dieses Segmentieren sehr leicht macht.
Eben durch diese VLAN Segmentierung behälst du die Performance im netz und kannst zudem über Accesslisten auch granular steuern wer wohin darf. Es ist also der richtige Weg ein Netzwerk zu skalieren !
Bitte warten ..
Mitglied: Lochkartenstanzer
18.11.2013 um 12:26 Uhr
Zitat von Pannas:
danke für den Link. Wenn ich mir das alles so recht überlege ist ein VLAN vielleicht doch die Vernünftigere, wenn
auch in dem Fall nicht optimale, Lösung. So brauch man nicht jedes mal ein neues Subnetz, extra Hardware und (DHCP,
..)-Relais wenn eine neue Halle dazu kommt.

Für Dich wären VLANs schon die richtige Lösung. Insbesondere, wenn man dafür ordendtliche L3-switches nimmt. Die Firewall/VPN-Lösung wäre nur bei eingeschränktem Budget eine Alternative.

lks
Bitte warten ..
Mitglied: MrNetman
18.11.2013 um 15:09 Uhr
Ein L3-Switch und managebare L2-Switche reichen völlig. Und die Firewalls können oft auch noch routen.
Bitte warten ..
Mitglied: Pannas
19.11.2013 um 16:17 Uhr
Hi,

sind ja doch zahlreiche Antworten geworden zu so einem simplen Problem. Danke dafür!

Es wird dann wohl doch das VLAN. Der L3-Switch in Gebäude1 soll durch einen managed L2-Switch (zur Trennung der VLANs) in Gebäude2 ergänzt werden, der Rest wird dann über unmanaged L2-Switche geregelt. Ist denke ich eine recht saubere Lösung.

Danke für die Tipps.
Bitte warten ..
Mitglied: MrNetman
20.11.2013 um 09:55 Uhr
Fein,

schließe erst das Thema und erzähle uns später, ob es auch so geklappt hat.
Danke
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Sicheres Netzwerk im Netzwerk
Frage von gotti1994Netzwerkmanagement9 Kommentare

Hallo zusammen, ich ziehe demnächst in ein Mehrparteienhaus. Dort gibt es einen Internetvertrag für alle Parteien. In den Wohnungen ...

Netzwerkmanagement
Netzwerk Splitten
Frage von SaintenrNetzwerkmanagement10 Kommentare

Guten Abend Forum, Ich habe mal eine Frage zu Netzwerk Verkabelung im privaten Umfeld. Aktuell besteht folgende Verkabelung: In ...

Netzwerkmanagement
Netzwerk inventarisieren
gelöst Frage von IT-ProNetzwerkmanagement10 Kommentare

Guten Tag, Ich bin gerade dabei mir eine Datenbank anzulegen um mein privates Netzwerk zu inventarisieren (und zu Dokumentieren). ...

Netzwerke
Weiterbildung Netzwerk
gelöst Frage von 121103Netzwerke8 Kommentare

Hi zusammen, ich bin momentan auf der Suche nach Weiterbildungen im Bereich Netzwerk. Momentan segmentiere ich das Netzwerk in ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 1 TagDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 1 TagSicherheit1 Kommentar

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 2 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 3 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
Microsoft Office
Sharepoint 2016 mag keine Umlaute in .docx-Titeln
gelöst Frage von DerWoWussteMicrosoft Office14 Kommentare

Moin Kollegen. Nutzt hier jemand Sharepoint? Könnt Ihr, unabhängig von der Sharepointversion, bitte einen Test machen? Ladet ein .docx ...

Basic
VBS soll alle Ordner auswählen, die im Startmenu angezeigt werden
Frage von Senseless-CreatureBasic12 Kommentare

Guten Morgen - gibt es eine Möglichkeit, per VBS das Startmenu in Win10 zu modifizieren? Ich beherrsche VBS mittlerweile ...

Virtualisierung
Physikalischen Linux-Rechner (Debian) in VM umziehen
Frage von fbronkoVirtualisierung10 Kommentare

Moin, ich möchte zu Testzwecken einen physikalisch vorhandenen Linux-Rechner auf Debian-Basis in eine VM umziehen. Ich habe mittlerweile schon ...

Video & Streaming
GO PRO 7 Black 4K 60 FPS MP4 HEVC(H.265) Codier Probleme
gelöst Frage von REN0XXVideo & Streaming10 Kommentare

Mahlzeit, ich habe mir Letztens Die GoPro Hero Black 7 gekauft, da diese nun auch 4K und 60FPS unterstützt ...