23
Netzwerk Struktur und Sicherheit - Konzept
Hallo liebes Forum.
Seit nunmehr als 3 Monaten arbeite ich endlich in einem Berufsumfeld, in dem ich schon immer
Arbeiten wollte. In der IT. Warum und weshalb soll heute nicht das Thema sein.
Kurz noch: All mein Wissen habe ich mir in Eigenstudie selbst beigebracht.
Nun zu meinem, naja, Problem!? Wie auch immer...
Seit meinen ersten Tagen im neuen Beruf, habe ich jetzt schon einiges gesehen.
Schrecklich. Was ich sah, erinnert mich höchstens an Lan-Party Zeiten von früher.
Etliche Switch Kaskaden, keine saubere Verkabelung(Erst mal nicht so wichtig)
Keine VLANs. Es sind zum Beispiel 4 Abteilungen mit insgesamt 150 bis 200 Endgeräten,
Drucker und IP-Phone inklusive, an einem einzigen Netz angebunden.
Sprich: 150 - 200 Geräte an 3 bis 4 Switche. Von 192.168.0.1 bis 192.168.0.200
Dazu kommen noch 60 oder 70 IP-Kameras. Diese sind zumindest an einem anderen Netz angebunden(192.168.1.0/24) werden aber ins 192.168.0.0/24 Netz geroutet. Naja..
Dennoch kommen vom Kunden immer wieder Beschwerden dass das Netzwerk lahmt.
Wie auch immer.... Erst mal zweitrangig..
Eingesetzt werden HP Aruba 2920 Switche sowie frühere.
Bei den wenigsten Kunden gibt es eine 10Gbit Anbindung.
Am Freitag haben wir E-Mails bekommen, mit der Frage "In letzter Zeit haben wir hiervon gehört und davon.. Sind wir überhaupt sicher???"
Ohje ohje... dachte ich mir nur als ich davon mitbekam.
Bei den Kunden sind Server im Einsatz, die vom Internet aus erreichbar sind, aber nicht in einer DMZ stehen. Ich habe meine Bosse schon darauf aufmerksam gemacht. Vom einem Boss kam die Reaktion, vergleichbar mit "Nach mir die Sintflut" vom anderen Boss bekam ich die Aufgabe ein Konzept vorzulegen, wie man es besser machen könnte/sollte.
Seit am Freitag Abend sitze ich nun Zuhause und arbeite an diesem Konzept.
Dieses möchte ich mit euch teilen und erhoffe mir dadurch etwas von euch lernen zu können und Meinungen auszutauschen. Ich bitte euch objektiv und beim Thema zu bleiben.
So, jetzt könnt ihr begutachten was ich schon ausgearbeitet habe.
Seit nunmehr als 3 Monaten arbeite ich endlich in einem Berufsumfeld, in dem ich schon immer
Arbeiten wollte. In der IT. Warum und weshalb soll heute nicht das Thema sein.
Kurz noch: All mein Wissen habe ich mir in Eigenstudie selbst beigebracht.
Nun zu meinem, naja, Problem!? Wie auch immer...
Seit meinen ersten Tagen im neuen Beruf, habe ich jetzt schon einiges gesehen.
Schrecklich. Was ich sah, erinnert mich höchstens an Lan-Party Zeiten von früher.
Etliche Switch Kaskaden, keine saubere Verkabelung(Erst mal nicht so wichtig)
Keine VLANs. Es sind zum Beispiel 4 Abteilungen mit insgesamt 150 bis 200 Endgeräten,
Drucker und IP-Phone inklusive, an einem einzigen Netz angebunden.
Sprich: 150 - 200 Geräte an 3 bis 4 Switche. Von 192.168.0.1 bis 192.168.0.200
Dazu kommen noch 60 oder 70 IP-Kameras. Diese sind zumindest an einem anderen Netz angebunden(192.168.1.0/24) werden aber ins 192.168.0.0/24 Netz geroutet. Naja..
Dennoch kommen vom Kunden immer wieder Beschwerden dass das Netzwerk lahmt.
Wie auch immer.... Erst mal zweitrangig..
Eingesetzt werden HP Aruba 2920 Switche sowie frühere.
Bei den wenigsten Kunden gibt es eine 10Gbit Anbindung.
Am Freitag haben wir E-Mails bekommen, mit der Frage "In letzter Zeit haben wir hiervon gehört und davon.. Sind wir überhaupt sicher???"
Ohje ohje... dachte ich mir nur als ich davon mitbekam.
Bei den Kunden sind Server im Einsatz, die vom Internet aus erreichbar sind, aber nicht in einer DMZ stehen. Ich habe meine Bosse schon darauf aufmerksam gemacht. Vom einem Boss kam die Reaktion, vergleichbar mit "Nach mir die Sintflut" vom anderen Boss bekam ich die Aufgabe ein Konzept vorzulegen, wie man es besser machen könnte/sollte.
Seit am Freitag Abend sitze ich nun Zuhause und arbeite an diesem Konzept.
Dieses möchte ich mit euch teilen und erhoffe mir dadurch etwas von euch lernen zu können und Meinungen auszutauschen. Ich bitte euch objektiv und beim Thema zu bleiben.
So, jetzt könnt ihr begutachten was ich schon ausgearbeitet habe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1396499615
Url: https://administrator.de/contentid/1396499615
Printed on: April 27, 2024 at 22:04 o'clock
23 Comments
Latest comment
Ich sollte noch etwas zu meinen Zielen sagen:
Mein Ziel ist es, meine Bosse davon zu überzeugen das es mit dem Konzept, das sie
verfolgen nicht weiter gehen kann. Sowohl uns und vor allem auch dem Kunden zu liebe.
Ziel ist es, meine Bosse dazu zu bewegen von den Switch Kaskaden weg zu kommen und zumindest eine Collapsed-Core Struktur zu implementieren.
Ich bekommt ja immer nur gesagt, der Kunde will das nicht bezahlen. Super, nicht wahr!
Ziel ist es meine Bosse davon zu überzeugen, die Server in eine DMZ zu stellen und VLANs
einzuführen. (Da bekomm ich von einem immer gesagt "Ja, damit nur du dieses System Administrieren kannst") Anmerkung: Da fehlen mir immer die Worte.
Das sind die ersten 3 Ziele die ich sehr gerne erreichen möchte.
Mein Ziel ist es, meine Bosse davon zu überzeugen das es mit dem Konzept, das sie
verfolgen nicht weiter gehen kann. Sowohl uns und vor allem auch dem Kunden zu liebe.
Ziel ist es, meine Bosse dazu zu bewegen von den Switch Kaskaden weg zu kommen und zumindest eine Collapsed-Core Struktur zu implementieren.
Ich bekommt ja immer nur gesagt, der Kunde will das nicht bezahlen. Super, nicht wahr!
Ziel ist es meine Bosse davon zu überzeugen, die Server in eine DMZ zu stellen und VLANs
einzuführen. (Da bekomm ich von einem immer gesagt "Ja, damit nur du dieses System Administrieren kannst") Anmerkung: Da fehlen mir immer die Worte.
Das sind die ersten 3 Ziele die ich sehr gerne erreichen möchte.
Ein Netzwerk ohne jegliche Redundanz. 
Keine besonders gute Idee !
Entsprechend dann oben auch die völlig falschen Beschreibungen im Text mit ein Core Switch und die Anbindungen des Acces mit 2G usw. Das klingt alles etwas laienhaft und dillettantisch, sorry aber so macht das auch der Azubi im ersten Lehrjahr. Da braucht dein Management dann in der Tat keinen Netzwerk Admin.
Ein Core ist zumindest immer ein Stack oder HA Design mit zwei redundanten Switches. Access Anbindung immer doppelt mit Link Sharing oder besser LACP LAGs.
Nur mal so als Beispiel wie man es wenn, dann richtig angeht wenn du solch marode und gruselige Struktur wie oben schon richtigerweise angehst und ausmistest.
Bei soviel Ignoranz, Dillettantismus und auch Naivität in der Management Ebene keine leichte Aufgabe für dich. Die kindlichen Äußerungen deines Managementes muss man hier sicher nicht weiter kommentieren. Fragt sich was die sagen wenn man mal für einen Tag die Infrastruktur abschaltet.
Keine besonders gute Idee !Entsprechend dann oben auch die völlig falschen Beschreibungen im Text mit ein Core Switch und die Anbindungen des Acces mit 2G usw. Das klingt alles etwas laienhaft und dillettantisch, sorry aber so macht das auch der Azubi im ersten Lehrjahr. Da braucht dein Management dann in der Tat keinen Netzwerk Admin.
Ein Core ist zumindest immer ein Stack oder HA Design mit zwei redundanten Switches. Access Anbindung immer doppelt mit Link Sharing oder besser LACP LAGs.
Nur mal so als Beispiel wie man es wenn, dann richtig angeht wenn du solch marode und gruselige Struktur wie oben schon richtigerweise angehst und ausmistest.
Bei soviel Ignoranz, Dillettantismus und auch Naivität in der Management Ebene keine leichte Aufgabe für dich. Die kindlichen Äußerungen deines Managementes muss man hier sicher nicht weiter kommentieren. Fragt sich was die sagen wenn man mal für einen Tag die Infrastruktur abschaltet.
Die Redundanz habe ich bewusst, wegen dem Kosten Faktor weggelassen. Leg ich das so vor, wird es sowieso direkt verworfen. Den Gedanken, die Redundanz mit aufzunemehn, hatte ich natürlich auch. Ich feu mich wenn ich das erst mal ohne Redundanz genemigt bekomme. Hier denke ich, erst mal ein Schritt nach dem Anderen. Hoffe noch mehr von dir in meinem Beitrga zu lesen, aqui.
Ich würde erstmal überlegen für welche Grössenordnung du das baust. Wenn es wirklich 150-200 Endgeräte sind dann ist das zwar schnell mal dahin gemalt aber oft in der Umsetzung dann doch mehr Spass.
Denn wie üblich kommt es auch auf dein Budget an - ich würde z.B. zumindest bei der Firewall auf Redundanz bestehen. Wenns wirklich günstig sein muss dann wären hier ja z.B. 2 Linux-FWs mit pfSense möglich. Aber wenn dir in deinem Szenario die FW wegsemmelt wäre dein Laden direkt Tod ODER du müsstest mehrfaches Routing aufbauen (einmal aufm Core-Switch, einmal auf der Firewall). Dabei kommt es natürlich drauf an - wenn du das alles auf den Core machst muss dieser natürlich auch redundant sein - wenn der nur eine "simple" Port-Config enthält reicht es ggf. auch wenn man sich ein genügend ähnliches Modell zwischen Core + Access nimmt und zumindest einen Switch als Backup bereithält.
Dir muss aber eben auch bewusst sein: Bei der Grössenordnung sollte man durchaus wissen was man auf der Firewall usw. macht - sonst macht die eben auch nur warme Luft.
Ich würde z.B. auch die DMZ mit auf den Core legen wenns wirklich nur 2 Geräte sind - und das ganze eben über VLANs trennen. Auch hier gilt: Wenn eh keine Redundanz da ist dann versuche ich die Geräte zu minimieren. Das senkt die Chance eines Ausfalls halt - und das gesparte Geld kann man lieber in entweder Service-Verträge oder Redundanz stecken.
Denn wie üblich kommt es auch auf dein Budget an - ich würde z.B. zumindest bei der Firewall auf Redundanz bestehen. Wenns wirklich günstig sein muss dann wären hier ja z.B. 2 Linux-FWs mit pfSense möglich. Aber wenn dir in deinem Szenario die FW wegsemmelt wäre dein Laden direkt Tod ODER du müsstest mehrfaches Routing aufbauen (einmal aufm Core-Switch, einmal auf der Firewall). Dabei kommt es natürlich drauf an - wenn du das alles auf den Core machst muss dieser natürlich auch redundant sein - wenn der nur eine "simple" Port-Config enthält reicht es ggf. auch wenn man sich ein genügend ähnliches Modell zwischen Core + Access nimmt und zumindest einen Switch als Backup bereithält.
Dir muss aber eben auch bewusst sein: Bei der Grössenordnung sollte man durchaus wissen was man auf der Firewall usw. macht - sonst macht die eben auch nur warme Luft.
Ich würde z.B. auch die DMZ mit auf den Core legen wenns wirklich nur 2 Geräte sind - und das ganze eben über VLANs trennen. Auch hier gilt: Wenn eh keine Redundanz da ist dann versuche ich die Geräte zu minimieren. Das senkt die Chance eines Ausfalls halt - und das gesparte Geld kann man lieber in entweder Service-Verträge oder Redundanz stecken.
Ich würde den 10 Gbit-Kram nicht so prominent in die Argumentation packen. Das ist – vom aktuellen Status des Kunden – ja eher das andere Ende der Fahnenstange.
Das macht Dein Konzept unnötig angreifbar (a la Wolkenkuckucksheim) und lässt sich besser nachschieben, wenn Du 10 Gbit für ein paar Bucks mehr gleich mitabfackeln könntest. Argumantation: Zukunftssicherheit
Schau erstmal, was der Kunde für den Server mit all den Virtualisierungen inkl. Lizenzen(!) in die Hand nehmen muss und ob dann noch Geld für 10 Gbit übrigbleibt. Ist ja schön, sich über Redundanz der FW (200 EUR) Gedanken zu machen - doch ohne Failover ISP sinnfrei? Aber was macht die Firma bei Ausfalls des VM-Hosts? Das ist bei dieser Unternehmensgröße doch deutlich problematischer als der Internetzugang! 😁
Der von Dir beschriebene Jetztzustand ist entstanden, weil für Infrastruktur weder Geld noch Verständnis da ist und immer der günstigste Weg „angedockt“ wurde. Und da stellt sich mir die Frage, warum das jetzt anders werden sollte … wo es doch bisher auch (irgendwie) klappte (und natürlich, wer von den beiden GF fürs Geld zuständig ist 😉 )
Das macht Dein Konzept unnötig angreifbar (a la Wolkenkuckucksheim) und lässt sich besser nachschieben, wenn Du 10 Gbit für ein paar Bucks mehr gleich mitabfackeln könntest. Argumantation: Zukunftssicherheit
Schau erstmal, was der Kunde für den Server mit all den Virtualisierungen inkl. Lizenzen(!) in die Hand nehmen muss und ob dann noch Geld für 10 Gbit übrigbleibt. Ist ja schön, sich über Redundanz der FW (200 EUR) Gedanken zu machen - doch ohne Failover ISP sinnfrei? Aber was macht die Firma bei Ausfalls des VM-Hosts? Das ist bei dieser Unternehmensgröße doch deutlich problematischer als der Internetzugang! 😁
Der von Dir beschriebene Jetztzustand ist entstanden, weil für Infrastruktur weder Geld noch Verständnis da ist und immer der günstigste Weg „angedockt“ wurde. Und da stellt sich mir die Frage, warum das jetzt anders werden sollte … wo es doch bisher auch (irgendwie) klappte (und natürlich, wer von den beiden GF fürs Geld zuständig ist 😉 )
Die Redundanz habe ich bewusst, wegen dem Kosten Faktor weggelassen.
Ein fataler Fehler ! Zeigt dann aber auch das die Netzwerk Infrastruktur dir und dem Management auch nicht wirklich wichtig genug ist. Vermutlich kann diese dann auch ruhig einmal ein oder 2 Tage ausfallen ohne das sich jemand aufregt. In den Fall ist das ist dann auch OK so.Ansonsten ist ein Firmennetzwerk mit entsprechender Verfügbarkeits Anforderung und ohne Redundanz ein absolutes NoGo. So eine eklantante Schwachstelle würde dir auch ein nur halbwegs kundiger Manager in der Luft zerreissen. Zudem schadet es deiner Reputation solltest du sowas ernsthaft als Lösung präsentieren. Das kann auch der Azubi im ersten Lehrjahr.
Wie die Kollegen oben schon sagen ist die Investition in eine zuverlässige Redundanz erheblich sinnvoller als dicke Bandbreite die man nicht nutzt. Außerdem wird die o.a. Redundanz ja zusätzlich aktiv auch als Bandbreite genutzt mit der Lastverteilung über die LACP LAGs. Zwei Fliegen also...
Wie gesagt...es sei den Redundanz ist nicht wirklich wichtig. Deine billigen Aruba Gurken oben sind allesamt OEM Produkte die HP nicht selber entwickelt und herstellt sondern billigst auf dem OEM Massenmarkt zukauft und nur sein Namensbäppel drauf macht. Vergiss das nicht wenn es um Verfügbarkeit geht...
Nochwas von der Seitenlinie:
Redundanz in seiner "platten" Form kostet aus BWLer-Sicht nur totes Kapital. Wenn Wirtschaftler das wollten, wäre die Personaldecke doppelt so dick wie üblich.
Versuche eher einen kombinierten Ansatz:
Durch ein mehrfach Vorhandensein eines Teils (Server/Switch/Router) können wir die Last dauerhaft verteilen. D.h. Du kannst pro Gerät "ne Stufe günstiger/kleiner" gehen und kombinierst trotzdem Performance-Vorteile (beim parallelen Einsatz) mit Ausfallsicherheit (wenn ein Gerät temporär die komplette Last stemmt).
Und ja, bei Ausfall eines Gerätes kommt es temporär zu Perfomance-Einschränkungen.
Bedenke bei Deiner Argumentation immer, dass aus "Dummy"-Sicht bisher alles funktioniert hat ... warum also "alles neu für viel Geld". Will sich da jemand "gesundstoßen", usw.
VG
Redundanz in seiner "platten" Form kostet aus BWLer-Sicht nur totes Kapital. Wenn Wirtschaftler das wollten, wäre die Personaldecke doppelt so dick wie üblich.
Versuche eher einen kombinierten Ansatz:
Durch ein mehrfach Vorhandensein eines Teils (Server/Switch/Router) können wir die Last dauerhaft verteilen. D.h. Du kannst pro Gerät "ne Stufe günstiger/kleiner" gehen und kombinierst trotzdem Performance-Vorteile (beim parallelen Einsatz) mit Ausfallsicherheit (wenn ein Gerät temporär die komplette Last stemmt).
Und ja, bei Ausfall eines Gerätes kommt es temporär zu Perfomance-Einschränkungen.
Bedenke bei Deiner Argumentation immer, dass aus "Dummy"-Sicht bisher alles funktioniert hat ... warum also "alles neu für viel Geld". Will sich da jemand "gesundstoßen", usw.
VG
Guten Morgen allerseits.
Ich bedanke mich zunächst über eure Beiträge.
@maretz
Die Größenordnung ist, bei den größeren Kunden immer so um die 100 bis 200 Geräte.
Bei kleineren Kunden, die nur 2 bis 6 Workstations und 2 Drucker + 4 Ip-Phones haben,
werde ich das Konzept nicht anwenden wollen.
Das Budget ist nicht angegeben. Aus meiner bisherigen Erfahrung kann ich jedoch sagen,
das, wenn ich das auch richtig beim Kunden vortragen darf, locker 25k bis 30k drinnen sind. Es müssen bei einigen ja nur die Switche getauscht werden und eventuell 1 oder 2 Server dazu gekauft werden. Halt noch die Arbeitszeit.
Und es müssen keine 5k Switche sein. Ich würde zwar sehr gerne Cisco Catalysten nehmen, aber mal sehen. Ich bin ja noch nicht fertig. Werde wohl noch mindestens diese Woche dafür benötigen.
Redundanz in der Firewall macht glaub ich nur Sinn, wenn zwei DSL Anschlüsse vorhanden sind. Oder?
Als Firewall Lösung dient uns seit jeher: Securepoint.
Die DMZ in den Core zu verlegen halte ich nicht für clever.
Wird der Server dann kompromittiert ist auch das restliche netzt fällig. VLAN hin oder her. Ich glaube damit richtig zu liegen!
Da auf den Server von Intern zugegriffen werden muss, Intern und Server verschiedene VLANs haben, muss ja ein Routing stattfinden oder NAT)
Bei der Firewall ist es ja so das Antwort-Traffic durch geht.
Ob das beim Core-Switch auch der Fall ist, weiß ich nicht.
@Visucius
Server und Lizenzen sind schon vorhanden.
1 oder 2 Server müssten noch angeschafft werden.
Ich arbeite parallel auch an einem Backup-Konzept(Veeam)
Hab mir eigens dafür ein schönes Home-Lab zusammengestellt.
4 Server, NAS, Switche, WLC, ASA.
Wird alles erst getestet.
10Gbit erst mal raus lassen? Ok, werde ich erst mal so tun.
Für den Ausfall des VM-Hosts habe ich schon einen zweiten Server bei einem Kunden einrichten dürfen, der mit Veeam Failover macht.
Richtig! Ich werde nicht aufgeben!
@aqui
Richtig! Ich werde das so in mein Konzept mit aufnehmen.
Ich möchte 2 Versionen erstellen. Die „Sparsame“ und die „Professional“
Kann man das so machen. Ist das in der Praxis so üblich?
Mir ist es wichtig. Ich nehm meine Arbeit sehr ernst und tu was ich kann,
um es meinen Vorgesetzten begreiflich zu machen.
@Visucius
Danke. Das werde ich beherzigen.
Na klar funktioniert bisher alles. Aber es kommt der Tag, an dem nichts mehr funktioniert!
Was dann? Geschrei pur!!
Und dann wird natürlich ein Schuldiger gesucht. Und ich weiß schon wer das sein wird.
Dann ist der Kunde mit Pech ganz weg und steckt ne fette Summe in einen anderen Dienstleister.
Ich bedanke mich zunächst über eure Beiträge.
@maretz
Die Größenordnung ist, bei den größeren Kunden immer so um die 100 bis 200 Geräte.
Bei kleineren Kunden, die nur 2 bis 6 Workstations und 2 Drucker + 4 Ip-Phones haben,
werde ich das Konzept nicht anwenden wollen.
Das Budget ist nicht angegeben. Aus meiner bisherigen Erfahrung kann ich jedoch sagen,
das, wenn ich das auch richtig beim Kunden vortragen darf, locker 25k bis 30k drinnen sind. Es müssen bei einigen ja nur die Switche getauscht werden und eventuell 1 oder 2 Server dazu gekauft werden. Halt noch die Arbeitszeit.
Und es müssen keine 5k Switche sein. Ich würde zwar sehr gerne Cisco Catalysten nehmen, aber mal sehen. Ich bin ja noch nicht fertig. Werde wohl noch mindestens diese Woche dafür benötigen.
Redundanz in der Firewall macht glaub ich nur Sinn, wenn zwei DSL Anschlüsse vorhanden sind. Oder?
Als Firewall Lösung dient uns seit jeher: Securepoint.
Die DMZ in den Core zu verlegen halte ich nicht für clever.
Wird der Server dann kompromittiert ist auch das restliche netzt fällig. VLAN hin oder her. Ich glaube damit richtig zu liegen!
Da auf den Server von Intern zugegriffen werden muss, Intern und Server verschiedene VLANs haben, muss ja ein Routing stattfinden oder NAT)
Bei der Firewall ist es ja so das Antwort-Traffic durch geht.
Ob das beim Core-Switch auch der Fall ist, weiß ich nicht.
@Visucius
Server und Lizenzen sind schon vorhanden.
1 oder 2 Server müssten noch angeschafft werden.
Ich arbeite parallel auch an einem Backup-Konzept(Veeam)
Hab mir eigens dafür ein schönes Home-Lab zusammengestellt.
4 Server, NAS, Switche, WLC, ASA.
Wird alles erst getestet.
10Gbit erst mal raus lassen? Ok, werde ich erst mal so tun.
Für den Ausfall des VM-Hosts habe ich schon einen zweiten Server bei einem Kunden einrichten dürfen, der mit Veeam Failover macht.
Der von Dir beschriebene Jetztzustand ist entstanden, weil für Infrastruktur weder Geld noch Verständnis da ist und immer der günstigste Weg „angedockt“ wurde. Und da stellt sich mir die Frage, warum das jetzt anders werden sollte … wo es doch bisher auch (irgendwie) klappte (und natürlich, wer von den beiden GF fürs Geld zuständig ist 😉 )
Richtig! Ich werde nicht aufgeben!
@aqui
Richtig! Ich werde das so in mein Konzept mit aufnehmen.
Ich möchte 2 Versionen erstellen. Die „Sparsame“ und die „Professional“
Kann man das so machen. Ist das in der Praxis so üblich?
Mir ist es wichtig. Ich nehm meine Arbeit sehr ernst und tu was ich kann,
um es meinen Vorgesetzten begreiflich zu machen.
@Visucius
Versuche eher einen kombinierten Ansatz:
Durch ein mehrfach Vorhandensein eines Teils (Server/Switch/Router) können wir die Last dauerhaft verteilen. D.h. Du kannst pro Gerät "ne Stufe günstiger/kleiner" gehen und kombinierst trotzdem Performance-Vorteile (beim parallelen Einsatz) mit Ausfallsicherheit (wenn ein Gerät temporär die komplette Last stemmt).
Und ja, bei Ausfall eines Gerätes kommt es temporär zu Perfomance-Einschränkungen.
Bedenke bei Deiner Argumentation immer, dass aus "Dummy"-Sicht bisher alles funktioniert hat ... warum also "alles neu für viel Geld". Will sich da jemand "gesundstoßen", usw.
VG
Durch ein mehrfach Vorhandensein eines Teils (Server/Switch/Router) können wir die Last dauerhaft verteilen. D.h. Du kannst pro Gerät "ne Stufe günstiger/kleiner" gehen und kombinierst trotzdem Performance-Vorteile (beim parallelen Einsatz) mit Ausfallsicherheit (wenn ein Gerät temporär die komplette Last stemmt).
Und ja, bei Ausfall eines Gerätes kommt es temporär zu Perfomance-Einschränkungen.
Bedenke bei Deiner Argumentation immer, dass aus "Dummy"-Sicht bisher alles funktioniert hat ... warum also "alles neu für viel Geld". Will sich da jemand "gesundstoßen", usw.
VG
Danke. Das werde ich beherzigen.
Na klar funktioniert bisher alles. Aber es kommt der Tag, an dem nichts mehr funktioniert!
Was dann? Geschrei pur!!
Und dann wird natürlich ein Schuldiger gesucht. Und ich weiß schon wer das sein wird.
Dann ist der Kunde mit Pech ganz weg und steckt ne fette Summe in einen anderen Dienstleister.
Kann man das so machen. Ist das in der Praxis so üblich?
Man kann sich auch eine Frikadelle ans Knie nageln und so lange drehen bis man UKW drin hat.Will sagen: Man kann vieles machen, sollte aber immer das sinnvolle Ziel niemals aus den Augen verlieren.
Es ist doch vollkommen sinnfrei bei einer spezifischen Verfügbarkeitsanforderung die Redundanz wegzulassen. Das wäre so sinnig die Anschnallgurte im Auto wegzulassen aber gleichzeitig 99% Fahrersicherheit zu fordern. Besser man lässt die Ledersitze weg...
Du verstehst vermutlich die einfache Logik die dahinter steht ?!
Statt der Ledersitze mit Sitzheizung (Catalysten) tun es im einen oder anderen Falle auch einmal die SG Serie oder die CBS Modelle von Cisco. !!
Jeder auch nur etwas nachdenkende (auch fachfremde) Manager kommt auf sowas zuerst. ITler so oder so immer. Worte wie "Sparsam" usw. sind unsinnig, da wie immer relativ. Sinnvoll ist immer die genauen Pros und Cons genau zu beleuchten in so einem Konzept damit sowas immer begründet ist und fachfremde Entscheidungsträger verstehen warum und was die Folgen sind.
Aber es kommt der Tag, an dem nichts mehr funktioniert! Was dann? Geschrei pur...!!
Und genau DEM kommst du mit diesem sinnvollen und überlegtem Konzept dann zuvor ! Natürlich nicht mit der etwas laienhaften und banalen Text Formulierung in der Threadbeschreibung von oben, das ist klar !Sparen kannst du an bunten LEDs und anderem Firlefanz aber niemals an der Redundanz wenn du entsprechende Anforderungen hast ! Das ist immer eine primäre Anforderung in solchen Konzepten.
Danke für deine Antwort.
Ich verstehe die Logik die dahinter steckt.
Die Ledersitze lass ich weg. Sitzheizung auch.
Habe mich eben bisschen umgeschaut und habe mich für folgende Hardware entschieden(vorerst).
Als Core würde ich 2 Cisco SX-550X-12F nehmen.
Als Access Switche die SG-550X-24 oder 48er mit PoE.
Die Access Switche würde ich doppelt, also sagen wir ich brauche 4 die aktiv sind und 4 als Ersatz,
kaufen.
Damit sollte ich gut fahren können.
Wie ist die Meinung des Forums dazu?
Ich werde mein Konzept nun auf Redundanz aufbauen und überarbeiten.
Wie lautet eure Meinung zu Hardware die „Generalüberholt“ ist?
Ich verstehe die Logik die dahinter steckt.
Die Ledersitze lass ich weg. Sitzheizung auch.
Habe mich eben bisschen umgeschaut und habe mich für folgende Hardware entschieden(vorerst).
Als Core würde ich 2 Cisco SX-550X-12F nehmen.
Als Access Switche die SG-550X-24 oder 48er mit PoE.
Die Access Switche würde ich doppelt, also sagen wir ich brauche 4 die aktiv sind und 4 als Ersatz,
kaufen.
Damit sollte ich gut fahren können.
Wie ist die Meinung des Forums dazu?
Ich werde mein Konzept nun auf Redundanz aufbauen und überarbeiten.
Wie lautet eure Meinung zu Hardware die „Generalüberholt“ ist?
So teure Access Switches müsstest du nicht nehmen wenn du und deine Kunden einzig immer nur auf's Budget schielen nicht aber auf Technik und Verfügbarkeit. Da tun es auch CBS 220er
https://www.cisco.com/c/en/us/products/collateral/switches/business-220- ...
Im Core CBS350-12XS aus der CBS350er Serie.
https://www.cisco.com/c/en/us/products/switches/business-350-series-mana ...
Die SG Serie ist bis auf die 550er EoS im October 2022. Du solltest für zukünftige Projekte besser auf die aktuelle CBS Reihe gehen.
Generell ist das eine gute HW Wahl. Wenn du Kunden mit etwas höheren Ansprüchen hast solltest du einen Blick auf die Ruckus ICX Modelle werfen.
https://www.cisco.com/c/en/us/products/collateral/switches/business-220- ...
Im Core CBS350-12XS aus der CBS350er Serie.
https://www.cisco.com/c/en/us/products/switches/business-350-series-mana ...
Die SG Serie ist bis auf die 550er EoS im October 2022. Du solltest für zukünftige Projekte besser auf die aktuelle CBS Reihe gehen.
Generell ist das eine gute HW Wahl. Wenn du Kunden mit etwas höheren Ansprüchen hast solltest du einen Blick auf die Ruckus ICX Modelle werfen.
Wie lautet eure Meinung zu Hardware die „Generalüberholt“ ist?
Wie lautet deine Meinung zu Gebrauchtwagen ? Bzw. was für eine Erwartungshaltung für die Antwort hast du ?
Danke. Ohje..
An EoS hab ich gar nicht gedacht. Vielen Dank.
Wird mir nicht wieder passieren.
Meine Meinung zu Gebrauchtwahre?
Ich habe an generalüberholter Gebrauchtwahre(Netzwerk) nichts auszusetzten.
Setze ich bei mir im Home-Lab ein(Aus Gründen der Kosten versteht sich ja)
Nur bin ich nicht der Kunde. Ich glaube zu wissen was du davon denkst.
Ich lasse ab von diesem Gedanken Gebrauchtwahre beim Kunden einzusetzen.
Ach und ich achte nicht sehr auf das Budget.
Ich hab mir eben etwas über Pro und Contra aufgeschrieben und würde auch dazu gerne eure/deine
Meinung und/oder Vorschläge hören.
Pro-Redundanz
Hochverfügbarkeit
Fällt eine Komponente aus,
springt die andere direkt ein
_____________________________
Contra-Redundanz
Höhere Anschaffungskosten
Fällt eine Komponente aus, fällt das Netzwerk aus, bis die Komponente ersetzt wurde
Höhere Komplexität
Bis jetzt überwiegt Contra.
An EoS hab ich gar nicht gedacht. Vielen Dank.
Wird mir nicht wieder passieren.
Meine Meinung zu Gebrauchtwahre?
Ich habe an generalüberholter Gebrauchtwahre(Netzwerk) nichts auszusetzten.
Setze ich bei mir im Home-Lab ein(Aus Gründen der Kosten versteht sich ja)
Nur bin ich nicht der Kunde. Ich glaube zu wissen was du davon denkst.
Ich lasse ab von diesem Gedanken Gebrauchtwahre beim Kunden einzusetzen.
Ach und ich achte nicht sehr auf das Budget.
Ich hab mir eben etwas über Pro und Contra aufgeschrieben und würde auch dazu gerne eure/deine
Meinung und/oder Vorschläge hören.
Pro-Redundanz
Hochverfügbarkeit
Fällt eine Komponente aus,
springt die andere direkt ein
_____________________________
Contra-Redundanz
Höhere Anschaffungskosten
Fällt eine Komponente aus, fällt das Netzwerk aus, bis die Komponente ersetzt wurde
Höhere Komplexität
Bis jetzt überwiegt Contra.
Du hast echt einen schiefen Blick auf das Thema "Kosten".
Wenn 75 Mitarbeiter 2h nicht arbeiten können, weil das Netzwerk ausgefallen ist. Welche kosten hat das Unternehmen, bei einem Stundenlohn von 12€?
Und hast du noch gespart, wenn es 1 Woche dauert um einen Ersatzswitch aufzutreiben?
Wenn 75 Mitarbeiter 2h nicht arbeiten können, weil das Netzwerk ausgefallen ist. Welche kosten hat das Unternehmen, bei einem Stundenlohn von 12€?
Und hast du noch gespart, wenn es 1 Woche dauert um einen Ersatzswitch aufzutreiben?
Du bist ja funny
Mit so ner +/- Haushaltsliste kommste da vermutlich nicht weit.
Du brauchst ja den "Schadens-Faktor" - im Unternehmen gemeinhin EUR. Und da überwiegt (hoffentlich auch bei Dir) das Ausfall-Risiko für die gesamte Firma alle anderen Pros
Gebrauchtware ... ware (hat nix mit WaHrheit zu tun)
Hängt davon ab ob Du noch Sec-Updates bekommst oder ob die überhaupt entscheidend für Dich sind. Router wohl eher ja, bei den Switchen evtl. nicht so wichtig.
Schau, dass Du - auch als kaufendes Unternehmen - ne einjährige Garantie auf die HW bekommst, dann würde ich da kein Problem sehen. Und wenn Du das in dieser günstigeren Form eher ausfallsicher hinbekommst, ist das auf jeden Fall zu bevorzugen. Du bist ja in dem Fall kein "Endkunde" - d.h. der End-Verbraucherschutz greift evtl. nicht. Auf der anderen Seite - haftet eh so gut wie nie jemand für Ausfall oder Folgeschäden da macht Gebraucht keinen Unterschied zu Neuware.
In meinen Augen altert IT-HW - abgesehen von Akku-Kram - sehr entspannt. Und Netzwerk-HW kann auch mal über 10 Jahre im Unternehmen laufen und normalerweise weit unterhalb "Maximallast"
PS: Der "Grufti" war schneller
Mit so ner +/- Haushaltsliste kommste da vermutlich nicht weit.
Du brauchst ja den "Schadens-Faktor" - im Unternehmen gemeinhin EUR. Und da überwiegt (hoffentlich auch bei Dir) das Ausfall-Risiko für die gesamte Firma alle anderen Pros
Gebrauchtware ... ware (hat nix mit WaHrheit zu tun)
Hängt davon ab ob Du noch Sec-Updates bekommst oder ob die überhaupt entscheidend für Dich sind. Router wohl eher ja, bei den Switchen evtl. nicht so wichtig.
Schau, dass Du - auch als kaufendes Unternehmen - ne einjährige Garantie auf die HW bekommst, dann würde ich da kein Problem sehen. Und wenn Du das in dieser günstigeren Form eher ausfallsicher hinbekommst, ist das auf jeden Fall zu bevorzugen. Du bist ja in dem Fall kein "Endkunde" - d.h. der End-Verbraucherschutz greift evtl. nicht. Auf der anderen Seite - haftet eh so gut wie nie jemand für Ausfall oder Folgeschäden da macht Gebraucht keinen Unterschied zu Neuware.
In meinen Augen altert IT-HW - abgesehen von Akku-Kram - sehr entspannt. Und Netzwerk-HW kann auch mal über 10 Jahre im Unternehmen laufen und normalerweise weit unterhalb "Maximallast"
PS: Der "Grufti" war schneller
@ C.Caveman
Zu meiner Verteidigung: Ich hab so etwas noch nie gemacht. Bring es mir so zu sagen eben erst bei.
75 Mitarbeiter a. 12,-Euro Std.Lohn bei 2 Stunden Ausfall sind 1800,-Euro unnötige Kosten.
Bei einer Woche wären das 12.600,-Euro und nichts gespart.
@ Visucius
Ware. Ja du hast recht. Die deutsche Rechtschreibung!!
Zu meiner Verteidigung: Ich hab so etwas noch nie gemacht. Bring es mir so zu sagen eben erst bei.
75 Mitarbeiter a. 12,-Euro Std.Lohn bei 2 Stunden Ausfall sind 1800,-Euro unnötige Kosten.
Bei einer Woche wären das 12.600,-Euro und nichts gespart.
@ Visucius
Ware. Ja du hast recht. Die deutsche Rechtschreibung!!
Schau, dass Du - auch als kaufendes Unternehmen - ne einjährige Garantie auf die HW bekommst, dann würde ich da kein Problem sehen. Und wenn Du das in dieser günstigeren Form eher ausfallsicher hinbekommst, ist das auf jeden Fall zu bevorzugen. Du bist ja in dem Fall kein "Endkunde" - d.h. der End-Verbraucherschutz greift evtl. nicht. Auf der anderen Seite - haftet eh so gut wie nie jemand für Ausfall oder Folgeschäden da macht Gebraucht keinen Unterschied zu Neuware.
Werde ich so umsetzen. Danke. Du brauchst ja den "Schadens-Faktor" - im Unternehmen gemeinhin EUR. Und da überwiegt (hoffentlich auch bei Dir) das Ausfall-Risiko für die gesamte Firma alle anderen Pros
Hast du Lust und Laune mir das ein bisschen ausführlicher zu erklären?
Es sind ein paar Euro mehr. Du hast die Lohnnebenkosten unterschlagen.
Wie dem auch sei, spare nicht am falschen Ende.
Wie dem auch sei, spare nicht am falschen Ende.
Ist ja nicht nur der Mitarbeiter der bezahlt Löcher in die Luft guckt.
Kunde kann keine Bestellungen aufgeben.
Versand kann nicht versenden, damit kann auch keine Rechnung gestellt werden.
Kunde ist vielleicht sauer weil er jetzt Grad dringend jemanden gebraucht hätte: Reputationsverlust. Und vieles vieles mehr.
Grob gesagt: Monatsumsatz auf die Stunde runtergebrochen ist der minimale Schaden den das Unternehmen pro Stunde erleidet
Kunde kann keine Bestellungen aufgeben.
Versand kann nicht versenden, damit kann auch keine Rechnung gestellt werden.
Kunde ist vielleicht sauer weil er jetzt Grad dringend jemanden gebraucht hätte: Reputationsverlust. Und vieles vieles mehr.
Grob gesagt: Monatsumsatz auf die Stunde runtergebrochen ist der minimale Schaden den das Unternehmen pro Stunde erleidet
Hast du Lust und Laune mir das ein bisschen ausführlicher zu erklären?
Naja, das erklären ja gerade die Kollegen. Auch wenn ich deren Sichtweise hierzu als recht eindimensional betrachte.Im "realen" Leben wird das etwas "differenzierter" ablaufen.
a) In Deiner Struktur sind nicht alle Gerätschaften "gleich" wichtig und betreffen auch nicht gleich ALLE Mitarbeiter. Dementsprechend sind auch nicht überall die gesamten Personal- oder Umsatzkosten anzusetzen. Ein großer Teil der Belegschaft wird bei einem 200-Mann-Unternehmen intern arbeiten. Wenn also die FW ausfällt, müssen die nicht (alle) nach Hause. Der Vertrieb ist eh nicht im Haus und ist davon nur wenig betroffen, ein Teil baut Überstunden ab, usw.
b) Du gehst nicht von 100% Ausfallwahrscheinlichkeit aus, sondern berechnest diese. Nehmen wir an, Du hast erfahrungsgemäß 5% der Geräte, die innerhalb der ersten 5 Jahre defekt sind, dann wird der Betrag von a) mit dieser Zahl "gewichtet" ... sprich multipliziert: 10%=0,1
Und so könnte man sich Szenarien "durchkalkulieren". Das ist aber nicht Dein Job. Weder bist Du in der Versicherungsbranche noch ein "Risikospezialist". Nur unnötig HW nebeneinander zu stellen – macht wirtschaftlich auch kein Sinn! Dann haste vom Router nen BackupRouter und von dem nen BackupBackupRouter ... alles online und dann kommt nen Blitzschlag ... und alle 3 sind futsch.
Man muss irgendwo nen - persönlichen(!) - Tradeoff finden. Das ist Aufgabe des Managements und bestimmt von Firma/Branche zu Firma/Branche unterschiedlich. Ist ja jetzt auch nciht so, als ob Unternehmen z.B. ihren kompletten Strombedarf mit USV und Dieselgeneratoren vorhalten. Oder nen zweites Firmengebäude mieten - falls eins abfackelt. Ich kenne ne Firma, die mitten in einer deutschen Großstadt tagelang keinen Strom hatte. Oder die Wasserleitung platzt und läuft in Deinen Serverraum ... Die Zivilisationsdecke ist ziemlich dünn, wenn man das mal so mitbekommen
Das wird dann aber nicht unbedingt technisch abgefangen - sowas löst man administrativ (anmieten von Konferenzräumen zum Arbeiten, auslagern vom Vertrieb, (Analog-)Lager aufräumen, Papierablage überarbeiten, usw.) und/oder über Ausfall-Versicherungen, weil das deutlich günstiger ist.
Spätestens seit dem Corona-Schutdown weiß man doch, wie flexibel sowas - selbst hier im Land - notfalls gehandhabt werden kann. Da waren plötzlich hunderte von MAs im Homeoffice - bei denen das Jahrzehnte unmöglich schien
VG
@Visucius
Danke für die Ausführung.
Habe es halbwegs verstanden, denke ich.
Das hört sich schlüssig an. Bei unseren Kunden ist es genau anders rum. Der größte Teil arbeitet draußen und der kleinste Teil drinnen.
Davon hab ich sowas von keinen Plan.
Richtig! Das ist nicht meine Aufgabe. Unnötig HW nebeneinander zu stellen, hab ich auch so nicht vor. Da bin ich voll bei dir.
Ich möchte mein Konzept auf das nötige Minimum reduzieren.
So umfänglich sollte es nicht werden. Die Leute sollen ja auch noch verstehen was ich will.
Ich danke dir für deine Mühe..
Danke für die Ausführung.
Habe es halbwegs verstanden, denke ich.
Im "realen" Leben wird das etwas "differenzierter" ablaufen.
a) In Deiner Struktur sind nicht alle Gerätschaften "gleich" wichtig und betreffen auch nicht gleich ALLE Mitarbeiter.
Dementsprechend sind auch nicht überall die gesamten Personal- oder Umsatzkosten anzusetzen. Ein großer Teil
der Belegschaft wird bei einem 200-Mann-Unternehmen intern arbeiten. Wenn also die FW ausfällt, müssen die
nicht (alle) nach Hause. Der Vertrieb ist eh nicht im Haus und ist davon nur wenig betroffen, ein Teil baut
Überstunden ab, usw.
Dementsprechend sind auch nicht überall die gesamten Personal- oder Umsatzkosten anzusetzen. Ein großer Teil
der Belegschaft wird bei einem 200-Mann-Unternehmen intern arbeiten. Wenn also die FW ausfällt, müssen die
nicht (alle) nach Hause. Der Vertrieb ist eh nicht im Haus und ist davon nur wenig betroffen, ein Teil baut
Überstunden ab, usw.
Das hört sich schlüssig an. Bei unseren Kunden ist es genau anders rum. Der größte Teil arbeitet draußen und der kleinste Teil drinnen.
b) Du gehst nicht von 100% Ausfallwahrscheinlichkeit aus, sondern berechnest diese. Nehmen wir an, Du hast erfahrungsgemäß 5% der Geräte, die innerhalb der ersten 5 Jahre defekt sind, dann wird der Betrag von a) mit dieser Zahl "gewichtet" ... sprich multipliziert: 10%=0,1
Davon hab ich sowas von keinen Plan.
Und so könnte man sich Szenarien "durchkalkulieren". Das ist aber nicht Dein Job. Weder bist Du in der Versicherungsbranche noch ein "Risikospezialist". Nur unnötig HW nebeneinander zu stellen – macht wirtschaftlich auch kein Sinn! Dann haste vom Router nen BackupRouter und von dem nen BackupBackupRouter ... alles online und dann kommt nen Blitzschlag ... und alle 3 sind futsch.
Richtig! Das ist nicht meine Aufgabe. Unnötig HW nebeneinander zu stellen, hab ich auch so nicht vor. Da bin ich voll bei dir.
Ich möchte mein Konzept auf das nötige Minimum reduzieren.
So umfänglich sollte es nicht werden. Die Leute sollen ja auch noch verstehen was ich will.
Ich danke dir für deine Mühe..
Naja, das ist noch gesunder(?) Menschenverstand, Paranoia und schlechter Schlaf kommen erst, wenn Du Dir die BSI-Richtlinien durchliest 😏
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standar ...
Danke!! Genau sowas habe ich gesucht. Ich finde dass das doch schon ein umfangreiches Konzept darstellt. Oder liege ich da falsch?
NET.1.1: Netzarchitektur und – design habe ich gelesen. Den Rest nehm ich mir in der Woche auch noch vor.
Was ich sehr interessant finde ist der folgende Abschnitt:
Was ich allerdings nicht ganz verstehe ist:
Widerspricht das nicht der obigen Aussage?
Auch für mich sehr interessant ist:
Die Proxy Geschichte wird als nächsten im Lab mal ausprobiert, sobald ich herausgefunden habe wie ich es konfiguriere und implementiere.
NET.1.1: Netzarchitektur und – design habe ich gelesen. Den Rest nehm ich mir in der Woche auch noch vor.
Was ich sehr interessant finde ist der folgende Abschnitt:
NET.1.1.A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz (B) Ein IP-basierter Zugriff auf das interne Netz MUSS über einen sicheren Kommunikationskanal erfolgen. Der Zugriff MUSS auf vertrauenswürdige IT-Systeme und Benutzer beschränkt werden (siehe NET.3.3 VPN). Derartige VPN-Gateways SOLLTEN in einer externen DMZ platziert werden. Es SOLLTE beachtet werden, dass hinreichend gehärtete VPN-Gateways direkt aus dem Internet erreichbar sein können. Die über das VPN-Gateway authentisierten Zugriffe ins interne Netz MÜSSEN mindestens die Stand Februar 2021 Seite 4 von 10 IT-Grundschutz | NET.1.1 Netzarchitektur und -design interne Firewall durchlaufen
Was ich allerdings nicht ganz verstehe ist:
IT-Systeme DÜRFEN NICHT via Internet oder externer DMZ auf das interne Netz zugreifen. Es SOLLTE beachtet werden, dass etwaige Ausnahmen zu dieser Anforderung in den entsprechenden anwendungsund systemspezifischen Bausteinen geregelt werden.
Widerspricht das nicht der obigen Aussage?
Auch für mich sehr interessant ist:
NET.1.1.A12 Absicherung ausgehender interner Kommunikation zum Internet (B) Ausgehende Kommunikation aus dem internen Netz zum Internet MUSS an einem Sicherheits-Proxy entkoppelt werden. Die Entkoppelung MUSS außerhalb des internen Netzes erfolgen. Wird eine P-A-PStruktur eingesetzt, SOLLTE die ausgehende Kommunikation immer durch die Sicherheits-Proxies der P-A-P-Struktur entkoppelt werden.
Die Proxy Geschichte wird als nächsten im Lab mal ausprobiert, sobald ich herausgefunden habe wie ich es konfiguriere und implementiere.
Ich drücke die Daumen
1sobald ich herausgefunden habe wie ich es konfiguriere und implementiere.
In einer VM testweise eine Firewall laufen lassen wie pfSense oder OPNsense. Dort über die Package bzw. Plugin Verwaltung einen Proxy dazuinstallieren, konfigurieren, fertisch... Wenn es das denn nun war bitte nicht vergessen den Thread als gelöst zu markieren !
How can I mark a post as solved?
