8
Netzwerkdesign in einem KMU
Hallo zusammen,
ich möchte gerne Anfang nächsten Jahres einen Switch tauschen und bei der Gelegenheit gleich einen L3-Switch verwenden. Als Nebenher-Admin im Kleinunternehmen
hab ich natürlich nicht die berufliche Erfahrung der Profis, also bitte nicht gleich die siebenschwänzige LAN-Kabelpeitsche auspacken.
Nachstehen mal der Plan, der bezüglich der Übersichtlichkeit vielleicht etwas wirr geraten ist.
Ich hab mir mal folgende Punkte auf die ToDo-Liste geschrieben:
1. Router Lancom 1781 VA: Ich gebe dem Router die 172.16.1.1 und binde die Adresse auf ETH2/LAN2. Dann lege ich statische Rückrouten für die VLANs an, damit der Router weiß, wohin er den Kram schicken soll, also entweder einzeln für jedes VLAN oder eine Route für 192.168.1.0/16 mit 172.16.1.2 als Ziel. Die Anbindung ans Internet ist klar, Firewall ebenso. Da bleibt alles wie es ist.
2. SG350X-24MP: Dem Switch selbst gebe ich als Default-Gateway die 172.16.1.1, damit er die Default-Route 0.0.0.0/0 einträgt, die dann zum Lancom-Router führt. Ich lege die VLANs 10 bis 60 sowie 100 mit den Adressen 192.168.1.2, 192.168.2.2, 192.168.3.2 usw. sowie 172.16.1.2 an. Das Default-Gateway für jedes VLAN (außer VLAN100) ist dann die jeweilige IP im Switch.
Damit die Pakete ihren Weg vom Lancom-Router in die VLANs finden, lege ich statische Rückrouten auf dem Lancom-Router an, ggf. auch nur eine Rückroute mit 192.168.1.0/20.
Die VLANs 10 bis 50 dürfen untereinander quatschen. Lediglich das VLAN60 soll völlig getrennt sein. Das stelle ich dann durch eine ACL sicher. Da für VLAN60 der Switch die DHCP-Funktion übernehmen soll, richte ich auf dem Switch den DHCP-Server für das VLAN 60 ein. Alle anderen DHCP-Anforderungen leite ich mittels DHCP-Relay an den Windows Server in VLAN 10 weiter. Für die Clients im VLAN60 (ist eh nur der Cisco-VPN-Router unser Kunden) gebe ich per DHCP (vom Switch) die IP des VLAN60 als DNS + Default-Gateway durch.
3. Auf dem Windows Server lege ich die DHCP-Scopes für die VLANs 10 - 50 an und nehme Bereiche, in denen keine statischen IP-Adressen vergeben wurden. Als Default-Gateway verwende ich die IP-Adressen der VLANs auf dem Switch, als DNS aber den Windows Server in VLAN 10. Dort richte ich die Weiterleitung auf die beiden Provider-DNS ein. Ich habe bisher favorisiert, statt statischer IPs bei Druckern, Telefonen etc. DHCP zu verwenden und die Adressen dann zu reservieren, damit ich die DNS-Einträge nicht von Hand machen muss. Im DNS lege ich dann die passenden Reverse-Lookup-Zonen an.
4. Das NAS dienst als Kamera-Recorder und Datenbüchse. Es ist mit einer Schnittstelle im VLAN 50, um den Kamera-Traffic dort direkt aufzunehmen und mit der zweiten Schnittstelle im VLAN10, um dort als Speicherort zu dienen.
Die Abbildung ist natürlich nur schematisch. Es sind real ein paar Clients, Drucker, Kameras etc. mehr.
Vorab vielen Dank für Rückmeldungen, was richtig und was falsch ist. Gerne auch Tipps, was am Design verbessert werden könnte.
Gruß NV
ich möchte gerne Anfang nächsten Jahres einen Switch tauschen und bei der Gelegenheit gleich einen L3-Switch verwenden. Als Nebenher-Admin im Kleinunternehmen
hab ich natürlich nicht die berufliche Erfahrung der Profis, also bitte nicht gleich die siebenschwänzige LAN-Kabelpeitsche auspacken.
Nachstehen mal der Plan, der bezüglich der Übersichtlichkeit vielleicht etwas wirr geraten ist.
Ich hab mir mal folgende Punkte auf die ToDo-Liste geschrieben:
1. Router Lancom 1781 VA: Ich gebe dem Router die 172.16.1.1 und binde die Adresse auf ETH2/LAN2. Dann lege ich statische Rückrouten für die VLANs an, damit der Router weiß, wohin er den Kram schicken soll, also entweder einzeln für jedes VLAN oder eine Route für 192.168.1.0/16 mit 172.16.1.2 als Ziel. Die Anbindung ans Internet ist klar, Firewall ebenso. Da bleibt alles wie es ist.
2. SG350X-24MP: Dem Switch selbst gebe ich als Default-Gateway die 172.16.1.1, damit er die Default-Route 0.0.0.0/0 einträgt, die dann zum Lancom-Router führt. Ich lege die VLANs 10 bis 60 sowie 100 mit den Adressen 192.168.1.2, 192.168.2.2, 192.168.3.2 usw. sowie 172.16.1.2 an. Das Default-Gateway für jedes VLAN (außer VLAN100) ist dann die jeweilige IP im Switch.
Damit die Pakete ihren Weg vom Lancom-Router in die VLANs finden, lege ich statische Rückrouten auf dem Lancom-Router an, ggf. auch nur eine Rückroute mit 192.168.1.0/20.
Die VLANs 10 bis 50 dürfen untereinander quatschen. Lediglich das VLAN60 soll völlig getrennt sein. Das stelle ich dann durch eine ACL sicher. Da für VLAN60 der Switch die DHCP-Funktion übernehmen soll, richte ich auf dem Switch den DHCP-Server für das VLAN 60 ein. Alle anderen DHCP-Anforderungen leite ich mittels DHCP-Relay an den Windows Server in VLAN 10 weiter. Für die Clients im VLAN60 (ist eh nur der Cisco-VPN-Router unser Kunden) gebe ich per DHCP (vom Switch) die IP des VLAN60 als DNS + Default-Gateway durch.
3. Auf dem Windows Server lege ich die DHCP-Scopes für die VLANs 10 - 50 an und nehme Bereiche, in denen keine statischen IP-Adressen vergeben wurden. Als Default-Gateway verwende ich die IP-Adressen der VLANs auf dem Switch, als DNS aber den Windows Server in VLAN 10. Dort richte ich die Weiterleitung auf die beiden Provider-DNS ein. Ich habe bisher favorisiert, statt statischer IPs bei Druckern, Telefonen etc. DHCP zu verwenden und die Adressen dann zu reservieren, damit ich die DNS-Einträge nicht von Hand machen muss. Im DNS lege ich dann die passenden Reverse-Lookup-Zonen an.
4. Das NAS dienst als Kamera-Recorder und Datenbüchse. Es ist mit einer Schnittstelle im VLAN 50, um den Kamera-Traffic dort direkt aufzunehmen und mit der zweiten Schnittstelle im VLAN10, um dort als Speicherort zu dienen.
Die Abbildung ist natürlich nur schematisch. Es sind real ein paar Clients, Drucker, Kameras etc. mehr.
Vorab vielen Dank für Rückmeldungen, was richtig und was falsch ist. Gerne auch Tipps, was am Design verbessert werden könnte.
Gruß NV
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 392467
Url: https://administrator.de/contentid/392467
Printed on: April 24, 2024 at 17:04 o'clock
8 Comments
Latest comment
Hallo,
solange du deinen Ring zwischen NAS, VLAN 50, VLAN 10 und dem L3 sauber im Griff hast, passt das...
Da du keine Netzwerkmasken nennst... überall /24 oder sauber skaliert?
wieso zwischen dem Colt Router und deinem Lancom Router japanische IP Adressen genommen werden erschließt sich mir nicht.... es sei dein du bist in Japan .
brammer
solange du deinen Ring zwischen NAS, VLAN 50, VLAN 10 und dem L3 sauber im Griff hast, passt das...
Da du keine Netzwerkmasken nennst... überall /24 oder sauber skaliert?
wieso zwischen dem Colt Router und deinem Lancom Router japanische IP Adressen genommen werden erschließt sich mir nicht.... es sei dein du bist in Japan .
brammer
Hallo brammer,
mit Ring meinst du vermutlich, das nicht versehentlich über die beiden Schnittstellen des NAS ungewollt eine Verbindung zwischen
VLAN 10 und VLAN 50 zustande kommt? Was könnte hier eine Fehlerquelle sein? Ich hab im NAS den virtuellen Switch deaktiviert.
Die eine Schnittstelle bekommt PVID 50 und ist Member von VLAN50 und die andere Schnittstelle PVID10 und ist Member von VLAN10.
Die öffentlichen IPs sind geringfügig abgeändert
Ich darf dir versichern, das ich mit Japanern nichts am Hut habe. Sushi ist bäääh..
edit: Ja, alles /24-Netze.
Gruß NV
mit Ring meinst du vermutlich, das nicht versehentlich über die beiden Schnittstellen des NAS ungewollt eine Verbindung zwischen
VLAN 10 und VLAN 50 zustande kommt? Was könnte hier eine Fehlerquelle sein? Ich hab im NAS den virtuellen Switch deaktiviert.
Die eine Schnittstelle bekommt PVID 50 und ist Member von VLAN50 und die andere Schnittstelle PVID10 und ist Member von VLAN10.
Die öffentlichen IPs sind geringfügig abgeändert
Ich darf dir versichern, das ich mit Japanern nichts am Hut habe. Sushi ist bäääh..edit: Ja, alles /24-Netze.
Gruß NV
Hallo,
Na dann... passt...
Nur die Maske würde ich an deiner Stelle noch mal anpassen.... /27 oder /28...
Brammer
Na dann... passt...
Nur die Maske würde ich an deiner Stelle noch mal anpassen.... /27 oder /28...
Brammer
Generell ist das Design so richtig, hat aber einen gravierenden Nachteil: Es gibt keinerlei Redundanz !
Fällt nur einer der Switches aus ist das Netzwerk der Firma tot.
Mit etwas Redundnaz sähe ein verlässlicheres Grunddesign so aus:
Nur mal so zum Nachdenken...
Fällt nur einer der Switches aus ist das Netzwerk der Firma tot.
Mit etwas Redundnaz sähe ein verlässlicheres Grunddesign so aus:
Nur mal so zum Nachdenken...
Hallo aqui,
vielen Dank für den Vorschlag mit dem Visio-Bild. Du hast natürlich recht. Es fehlt bei meinem Szenario jegliche Redundanz.
Aber ich bin als Nebenher-Admin dennoch ein wenig stolz auf dein "Generell so richtig". Das zeigt zumindest, das ich
deine zahlreichen sehr guten Artikel zu diesen Themen gelesen und im Grundsatz verstanden habe. Man lernt ja nie aus.
Bezüglich der Ausfallsicherheit werde ich mich mal in den nächsten Wochen dran setzen. Kann ich als Layer3-Switches hier zwei
Cisco SG350X-24P verwenden und als Access-Switches vorhandene L2-Switches (managed, VLAN- und LACP-fähig)?
Gruß NV
vielen Dank für den Vorschlag mit dem Visio-Bild. Du hast natürlich recht. Es fehlt bei meinem Szenario jegliche Redundanz.
Aber ich bin als Nebenher-Admin dennoch ein wenig stolz auf dein "Generell so richtig". Das zeigt zumindest, das ich
deine zahlreichen sehr guten Artikel zu diesen Themen gelesen und im Grundsatz verstanden habe. Man lernt ja nie aus.
Bezüglich der Ausfallsicherheit werde ich mich mal in den nächsten Wochen dran setzen. Kann ich als Layer3-Switches hier zwei
Cisco SG350X-24P verwenden und als Access-Switches vorhandene L2-Switches (managed, VLAN- und LACP-fähig)?
Gruß NV
Ja, die kannst du nehmen und wären perfekt weil die auch Stacking fähig sind !
VLAN und LACP können sie natürlich selbstredend auch.
VLAN und LACP können sie natürlich selbstredend auch.
Mahlzeit,
so...ich habe das Thema etwas vorgezogen und mit Ausnahme der ACL's, die ich noch machen muss, und bin sehr zufrieden. Und der Cisco-Switch ist schon was anderes als das Billig-Zeugs, auch wenn es nur einer aus dem SmallBusiness-Bereich ist.
Dann kann nächstes Jahr der zweite SG350X-24P in den Schrank, damit ich das redundante Grunddesign weiter oben umsetzen kann.
Gruß NV
so...ich habe das Thema etwas vorgezogen und mit Ausnahme der ACL's, die ich noch machen muss, und bin sehr zufrieden. Und der Cisco-Switch ist schon was anderes als das Billig-Zeugs, auch wenn es nur einer aus dem SmallBusiness-Bereich ist.
Dann kann nächstes Jahr der zweite SG350X-24P in den Schrank, damit ich das redundante Grunddesign weiter oben umsetzen kann.
Gruß NV
Das ist der richtige Weg !
