11
Netzwerkerweiterung mit vielen Subnetzen über SPF
Moin von der Küste,
wir haben hier ein Netzwerk mit mehreren IP-getrennten Subnetzen, darunter zwei DMZ mit Kundenservern, ein Subnet für die IP Telefonie, zwei VLANs für das WLAN Subnet, etc.. Die einzelnen Subnetze sind über eine Firewall mit diversem Regelwerk verbunden. Die Firewall ist auch Router ins Internet und für bestimmte Subnetze auch DHCP Server. In einem der Subnetze befinden sich die Userrechner und auch der Domänencontroller. Soweit kommen wir klar.
Innerhalb eines großen Bürogebäudes sollen wir jetzt zusätzliche Räumlichkeiten erhalten, die sich aber getrennt von unserer Etage befinden. Hier wurde uns jetzt angeboten, das uns ein SPF Patch gegeben werden kann, über den wir dann die neuen Räume an unser Netz anbinden können.
Jetzt bräuchten wir mal eine Anschub-Idee in welche Richtung wir das am besten machen, damit alle Ressourcen auch in den neuen Räumen anliegen, wie z.B. Zugang zur Domäne mit DNS Server, DHCP Server, Internet, IP Telefonie, etc.
Im Moment fällt uns erst mal nur VLAN dazu ein. Kann mir jemand mal eine Richtung vorgeben, in die wir loslaufen müssen, um das so einfach wie möglich umzusetzen?
wir haben hier ein Netzwerk mit mehreren IP-getrennten Subnetzen, darunter zwei DMZ mit Kundenservern, ein Subnet für die IP Telefonie, zwei VLANs für das WLAN Subnet, etc.. Die einzelnen Subnetze sind über eine Firewall mit diversem Regelwerk verbunden. Die Firewall ist auch Router ins Internet und für bestimmte Subnetze auch DHCP Server. In einem der Subnetze befinden sich die Userrechner und auch der Domänencontroller. Soweit kommen wir klar.
Innerhalb eines großen Bürogebäudes sollen wir jetzt zusätzliche Räumlichkeiten erhalten, die sich aber getrennt von unserer Etage befinden. Hier wurde uns jetzt angeboten, das uns ein SPF Patch gegeben werden kann, über den wir dann die neuen Räume an unser Netz anbinden können.
Jetzt bräuchten wir mal eine Anschub-Idee in welche Richtung wir das am besten machen, damit alle Ressourcen auch in den neuen Räumen anliegen, wie z.B. Zugang zur Domäne mit DNS Server, DHCP Server, Internet, IP Telefonie, etc.
Im Moment fällt uns erst mal nur VLAN dazu ein. Kann mir jemand mal eine Richtung vorgeben, in die wir loslaufen müssen, um das so einfach wie möglich umzusetzen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671002
Url: https://administrator.de/forum/netzwerkerweiterung-mit-vielen-subnetzen-ueber-spf-671002.html
Ausgedruckt am: 30.01.2025 um 05:01 Uhr
11 Kommentare
Neuester Kommentar
Moin,
Ja. VLAN ist das Zauberwort. Wie habt ihr das denn aktuell?
Für jedes Subnetz einen eigenen, physischen Switch?
Die VLANs dann auf dem Uplink-Ports der Switche auf tagged setzen (außer VLAN1) und ab gehts…
Ja. VLAN ist das Zauberwort. Wie habt ihr das denn aktuell?
Für jedes Subnetz einen eigenen, physischen Switch?
Die VLANs dann auf dem Uplink-Ports der Switche auf tagged setzen (außer VLAN1) und ab gehts…
1
Moin...
Frank
Die VLANs dann auf dem Uplink-Ports der Switche auf tagged setzen (außer VLAN1) und ab gehts…
genau so... und nicht anders!Frank
Wie man das schnell und einfach umsetzt erklärt dir dieses Forentutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
1
Spannend wäre es aber noch zu wissen, welcher Leitungstyp (OM3/ OM4/ OM5 oder OS1/ OS2) zwischen eurem aktuellen und dem neuen Bestand verlegt ist/ wird, wie lang die Strecke ist und ob ausschließlich ihr Zugang dazu habt!?
Wenn auch noch Dritte Zugang zu den Übergabepunkten haben, muss noch etwas mehr aufgefahren werden. Denn dann zieht jemand das LWL-Kabel und steckt es in seinen Laptop/ Switch rein. Danach schaut er (WireShark), was da so alles vorbeifliegt.
Klar, Monitoring-Software erkennt eine Unterbrechung, aber Nachts um 3 Uhr reagiert da vermutlich auch niemand (schnell genug) drauf.
Da wäre es dann pfiffiger, den Traffic zwischen den Bereichen zu verschlüsseln.
Hierzu wäre 802.1ae interessant:
Und lasst euch ausreichend freie Fasern geben. Mindestens vier um ausreichend Redundanz (LAG/ MLAG) aufzubauen.
Wenn auch noch Dritte Zugang zu den Übergabepunkten haben, muss noch etwas mehr aufgefahren werden. Denn dann zieht jemand das LWL-Kabel und steckt es in seinen Laptop/ Switch rein. Danach schaut er (WireShark), was da so alles vorbeifliegt.
Klar, Monitoring-Software erkennt eine Unterbrechung, aber Nachts um 3 Uhr reagiert da vermutlich auch niemand (schnell genug) drauf.
Da wäre es dann pfiffiger, den Traffic zwischen den Bereichen zu verschlüsseln.
Hierzu wäre 802.1ae interessant:
Und lasst euch ausreichend freie Fasern geben. Mindestens vier um ausreichend Redundanz (LAG/ MLAG) aufzubauen.
Moin und danke für Eure Kommentare.
Was für ein Leitungstyp verlegt ist, kann ich im Moment nicht sagen. Zu den einzelnen "Mietobjekten" innerhalb des Bürogebäudes haben die örtlichen Stadtwerke jeweils einzelne Glasfaserleitungen gezogen. Diese werden dann im Keller, in einem abgeschlossenen Raum, zusammengeführt und an das Glasfasernetz der Stadtwerke angeschlossen.
Wie viele Fasern jetzt die einzelne Steigleitung zu uns enthält, entzieht sich auch unserer Kenntnis. Nach einem Telefonat mit den Stadtwerken kam zumindest heraus, dass sie aus unserer bestehenden Internetleitung separate Fasern noch mal herausspleißen wollen. Diese "zweite Leitung" wird dann im Keller mit der Steigleitung zu unseren neuen Räumlichkeiten zusammengepatcht und wir können diese "Direktverbindung" auf der keine anderen Signale liegen, per SPF Switch verbinden.
Wir müssen mal sehen, ob wir hier datenschutztechnisch einen Auftragsverarbeitungsvertrag mit den Stadtwerken machen müssen, weil wir ja ihre Datenleitungen (hoffentlich) exclusiv nutzen. Da würden dann ja auch Sicherungsmaßnahmen beschrieben. Allerdings sind TK Unternehmen, die Internetleitungen bereitstellen, von dieser Datenschutzmaßnahme eigentlich ausgeschlossen.
Nichtsdestotrotz müssen wir über Verschlüsselung nachdenken, das ist schon richtig. Der MS Windows Server 2016 Domänen Traffic sollte doch aber schon von Hause aus verschlüsselt ablaufen. Unser Mailverkehr vom internen Mailserver zu den Clients ist auch verschlüsselt. Bei den IP Telefonen muss ich mich erst mal schlau machen.
Für den Moment müssen wir uns aber erst mal ein Konzept ausdenken, damit wir im April, wenn wir die Räume bekommen, wissen, was wir machen. Also zurück zum Thema und den VLANs. Das scheint also wirklich das Mittel der Wahl zu sein.
Unsere Firewall Zyxel USG FLEX 700, welche hier alle unsere Subnetze verwaltet, hat ja bereits zwei freie SPF Ports, die wir nutzen können. Mit SPF hatten wir bisher nichts zu tun. (Die Stadtwerke haben für unseren bisherigen Internetanschluss ihren eigenen Cisco Switch geliefert, der Glasfaser auf Kupfer umsetzt). Wir kaufen uns also einen SPF "Einschub Adapter" für den freien Firewall SPF Port und patchen hier die neue Leitung drauf.
In den neuen Räumlichkeiten kommt dann ein neuer managbarer Layer 3 Switch mit SPF Uplink Port hin, der VLANs über seine Ports taggen kann. Der gesamte Traffic mit allen "neuen" VLANs kommt dann oben auf unserer Firewall an, wo wir nur noch neue Firewall Regeln für die neuen VLANs anlegen müssen.
Habe ich das im Grundprinzip verstanden?
ps: Vielen Dank für den Link zum Tutorial. Habe ich am WE wieder was zu lesen.
Was für ein Leitungstyp verlegt ist, kann ich im Moment nicht sagen. Zu den einzelnen "Mietobjekten" innerhalb des Bürogebäudes haben die örtlichen Stadtwerke jeweils einzelne Glasfaserleitungen gezogen. Diese werden dann im Keller, in einem abgeschlossenen Raum, zusammengeführt und an das Glasfasernetz der Stadtwerke angeschlossen.
Wie viele Fasern jetzt die einzelne Steigleitung zu uns enthält, entzieht sich auch unserer Kenntnis. Nach einem Telefonat mit den Stadtwerken kam zumindest heraus, dass sie aus unserer bestehenden Internetleitung separate Fasern noch mal herausspleißen wollen. Diese "zweite Leitung" wird dann im Keller mit der Steigleitung zu unseren neuen Räumlichkeiten zusammengepatcht und wir können diese "Direktverbindung" auf der keine anderen Signale liegen, per SPF Switch verbinden.
Wir müssen mal sehen, ob wir hier datenschutztechnisch einen Auftragsverarbeitungsvertrag mit den Stadtwerken machen müssen, weil wir ja ihre Datenleitungen (hoffentlich) exclusiv nutzen. Da würden dann ja auch Sicherungsmaßnahmen beschrieben. Allerdings sind TK Unternehmen, die Internetleitungen bereitstellen, von dieser Datenschutzmaßnahme eigentlich ausgeschlossen.
Nichtsdestotrotz müssen wir über Verschlüsselung nachdenken, das ist schon richtig. Der MS Windows Server 2016 Domänen Traffic sollte doch aber schon von Hause aus verschlüsselt ablaufen. Unser Mailverkehr vom internen Mailserver zu den Clients ist auch verschlüsselt. Bei den IP Telefonen muss ich mich erst mal schlau machen.
Für den Moment müssen wir uns aber erst mal ein Konzept ausdenken, damit wir im April, wenn wir die Räume bekommen, wissen, was wir machen. Also zurück zum Thema und den VLANs. Das scheint also wirklich das Mittel der Wahl zu sein.
Unsere Firewall Zyxel USG FLEX 700, welche hier alle unsere Subnetze verwaltet, hat ja bereits zwei freie SPF Ports, die wir nutzen können. Mit SPF hatten wir bisher nichts zu tun. (Die Stadtwerke haben für unseren bisherigen Internetanschluss ihren eigenen Cisco Switch geliefert, der Glasfaser auf Kupfer umsetzt). Wir kaufen uns also einen SPF "Einschub Adapter" für den freien Firewall SPF Port und patchen hier die neue Leitung drauf.
In den neuen Räumlichkeiten kommt dann ein neuer managbarer Layer 3 Switch mit SPF Uplink Port hin, der VLANs über seine Ports taggen kann. Der gesamte Traffic mit allen "neuen" VLANs kommt dann oben auf unserer Firewall an, wo wir nur noch neue Firewall Regeln für die neuen VLANs anlegen müssen.
Habe ich das im Grundprinzip verstanden?
ps: Vielen Dank für den Link zum Tutorial. Habe ich am WE wieder was zu lesen.
Du meinst, auch wenn du es immer falsch wiederholst, sicher kein "SPF" sondern einen SFP Port, oder? 🤔
Small Form-factor Pluggable:
https://de.wikipedia.org/wiki/Small_Form-factor_Pluggable
Einen Layer 3 (Routing) Switch benötigst du nicht zwingend und ist nur unnötig teuer wenn du in deinem Setup alles zentral über die bestehende Firewall routest und kein L3 VLAN Konzept umsetzt, also den Switch selber die VLANs routen lässt. Das ist in deinem Netzwerk Setup mit der zentralen Firewall ja nicht der Fall!
Du benötigst also in deinem Setup lediglich einen managebaren Layer 2 only VLAN Switch mit SFP Ports.
Der Umgang mit SFP Modulen ist kinderleicht. In der Inhouse Glasfaserverkabelung kommt so gut wie immer Multimode OM3 Faser mit 50/125µ zum Einsatz. SFP 1Gig SX Module dafür sind mittlerweile billige Massenware.
https://www.fs.com/de/products/75332.html?attribute=5876&id=3810482
https://www.amazon.de/kompatibel-Multimode-Transceiver-GLC-SX-MMD-1000Ba ...
Diese Module steckst du ganz einfach in den bestehenden Switch oder Firewall. Hier sollte man ggf. aufs Hersteller Branding achten sofern dein Firewall- und/oder Switchhersteller einen sog. Vendor Check bei den SFP Optiken macht. Damit ist das Prüfen herstellergebrandeter Optiken beim Booten der Firmware gemeint bzw. das Deaktivieren dieser Ports bei fehlendem Branding.
Alle diese SFP Optiken haben einen klassischen LC Steckanschluss. Je nachdem wie dein Glasfaser Patchfeld ausgerüstet ist gehst du dann da mit einem entsprechenden Patchkabel drauf. Das ist alles plug and play und auch von Laien sehr einfach zu handhaben.
Das Grundprinzip hast du also genau verstanden.
Small Form-factor Pluggable:
https://de.wikipedia.org/wiki/Small_Form-factor_Pluggable
Einen Layer 3 (Routing) Switch benötigst du nicht zwingend und ist nur unnötig teuer wenn du in deinem Setup alles zentral über die bestehende Firewall routest und kein L3 VLAN Konzept umsetzt, also den Switch selber die VLANs routen lässt. Das ist in deinem Netzwerk Setup mit der zentralen Firewall ja nicht der Fall!
Du benötigst also in deinem Setup lediglich einen managebaren Layer 2 only VLAN Switch mit SFP Ports.
Der Umgang mit SFP Modulen ist kinderleicht. In der Inhouse Glasfaserverkabelung kommt so gut wie immer Multimode OM3 Faser mit 50/125µ zum Einsatz. SFP 1Gig SX Module dafür sind mittlerweile billige Massenware.
https://www.fs.com/de/products/75332.html?attribute=5876&id=3810482
https://www.amazon.de/kompatibel-Multimode-Transceiver-GLC-SX-MMD-1000Ba ...
Diese Module steckst du ganz einfach in den bestehenden Switch oder Firewall. Hier sollte man ggf. aufs Hersteller Branding achten sofern dein Firewall- und/oder Switchhersteller einen sog. Vendor Check bei den SFP Optiken macht. Damit ist das Prüfen herstellergebrandeter Optiken beim Booten der Firmware gemeint bzw. das Deaktivieren dieser Ports bei fehlendem Branding.
Alle diese SFP Optiken haben einen klassischen LC Steckanschluss. Je nachdem wie dein Glasfaser Patchfeld ausgerüstet ist gehst du dann da mit einem entsprechenden Patchkabel drauf. Das ist alles plug and play und auch von Laien sehr einfach zu handhaben.
Das Grundprinzip hast du also genau verstanden.
In der Inhouse Glasfaserverkabelung kommt so gut wie immer Multimode OM3 Faser mit 50/125µ zum Einsatz.
Was u.U. Doof sein kann. Da die Stadtwerke ja vom bisherigen Nietobjekt in den Keller patchen (Strecke X) und dann nochmal vom Keller zum neuen Mietobjekt (Strecke Y) kommt ja eine Leitungslänge von X + Y zustande. Wenn die deutlich größer 300m ist, wird es bei OM3 eng, sollten die Uplinks mit 10G laufen.LAG scheint mit n * 1Gbit rauszufallen, wenn die Stadtwerke nur ein Adernpaar patchen wollen/ können.
Einen AVV braucht ihr vermutlich nicht, da ihr die SW ja nicht beauftragt habt, in eurem Namen mit Peronenbezogenen Daten zu hantieren. Ihr solltet euch aber ein Dokument geben lassen, aus dem hervorgeht, wie die Ihre TOMs umsetzen, damit nur die SW Zugang erhalten. Ich würde auch eine Zugangsprotokollierung erfragen. Wenn da Daten bei euch abfließen, sollte ersichtlich werden, wer alles wann in dem zentralen „LWL-Raum“ war.
Der MS Windows Server 2016 Domänen Traffic sollte doch aber schon von Hause aus verschlüsselt ablaufen. Unser Mailverkehr vom internen Mailserver zu den Clients ist auch verschlüsselt. Bei den IP Telefonen muss ich mich erst mal schlau machen.
Das ist doch nur die halbe Miete. Habt ihr vollumfänglich DNSSec eingesetzt? Wie verschlüsselt ihr SMB-Zugriffe? Wird der DHCP-Traffic geschützt?Druckjobs (RAW/ Port 9100) laufen ebenso unverschlüsselt.
Knippst sich einer in den Datenstrom und schneidet alles mit, bekommt er ne ganze Menge mit. Der sieht ja alles ab Layer 2 im ISO/OSI Modell. Vieles greift aber erst ab Layer 3+
Anhand von MAC-Adressen, IPs und VLAN-Tags kann man schon eine Menge herausfinden.
Danke aqui. Dann habe ich jetzt eine bestätigte Laufrichtung, die ich vertiefen kann, bevor ich etwas bestelle.
Super Forum hier. Keine Kommentare wie in anderen abgehobenen Foren, wie z.B.: "Lass es sein, wenn Du keine Ahnung davon hast."
@em-pie Ja, die Sache mit der Verschlüsselung müssen wir uns auch nochmal anschauen. TOMs hin oder her, wenn Informationen abfließen, ist das Gejaule groß.
Super Forum hier. Keine Kommentare wie in anderen abgehobenen Foren, wie z.B.: "Lass es sein, wenn Du keine Ahnung davon hast."
@em-pie Ja, die Sache mit der Verschlüsselung müssen wir uns auch nochmal anschauen. TOMs hin oder her, wenn Informationen abfließen, ist das Gejaule groß.
LAG scheint mit n * 1Gbit rauszufallen, wenn die Stadtwerke nur ein Adernpaar patchen wollen/ können.
Als gangbare Alternative bliebe in dem Fall statt Duplex SFP Optiken einfache BiDi SFP Optiken zu verwenden. (RX und TX über eine Simplex Faser mit unterschiedlichen Farben)So kann man über eine Duplex Faser zumindestens einen 2er LAG realisieren.
Was die Sicherheit anbetrifft kann der TO an den Faserenden L2 Switches mit MacSec verwenden sofern dies datenschutzrechtlich erforderlich sein sollte um die Übertragung ohne großen Aufwand sicher zu machen.
super Infos. Ich quetsche dann als Erstes die SW aus, was die uns für Fasern geben. Das ist ja ihr tägliches Geschäft und die können uns dann wahrscheinlich direkt sagen, welche SFP Optiken wir kaufen müssen, damit es funktioniert.
"L2 Switch mit MacSec" ist auch erst mal auf meiner "to be read" Liste. Alles spannend. Danke
"L2 Switch mit MacSec" ist auch erst mal auf meiner "to be read" Liste. Alles spannend. Danke
Das ist ja ihr tägliches Geschäft
Ist das nicht Strom und Gas in die Leitungen zu den Verbrauchern zu pumpen?! wahrscheinlich direkt sagen, welche SFP Optiken wir kaufen müssen
Sie können euch zu mindestens die genauen Faser Spezifikationen geben auf dessen Basis IHR dann eure SFP Optiken für eure Endgeräte beschafft. Alles spannend.
Sollte für einen ausgewiesenen Netzwerk Administrator aber eher unspannendes daily Business sein?! 
