Netzwerkplanung - Hilfe gesucht
Hallo (:
ich habe mittlerweile meine Ausbildung zur Anwendungsentwicklerin hinter mir, und habe bereits ein funktionierendes Projekt für meinen Chef umgesetzt. Sammeln von Sensordaten verschiedener Lagerstandorte.
Im Kleinen, als proof of concept. Nur lokales Netzwerk mit virtuellen Maschinen.
Jetzt ist es leider so das ich kein Systemintegrator bin und mir gewisse Kenntnisse im Detail fehlen.
Ich habe so gut es geht hier Tutorials gelesen und auch schon viel verstanden aber wohl sicherlich noch nicht alles.
Also:
meine Applikation sammelt Sensordaten.
Temperatur, Luftfeuchtigkeit, Bilddaten. Je nach Sensor/Standort. Individuell.
Jeder dieser Sensoren bekommt eine IP im Netzwerk.
Diese werden per REST-API auf einem Server gespeichert.
Funktioniert prima, mit mehreren virtuellen Maschinen getestet, auch schon mit div. Raspis.
Jetzt soll das an alle Standorte gehen, großer Rollout.
Problem: ich habe von Netzwerk leider keine Profi-Ahnung. Ich würde das aber schon sehr gerne selbst machen, da es nicht zeitkritisch ist und ich auch dadurch ggf. meine Applikation besser machen könnte.
Ausgangs-Szenario:
Netzwerk Zentrale
Datenspeicher einer Site
Sensoren
So, ist meine Vermutung mit den Netzwerkgrößen so richtig?
Ich will aus Sicherheitsgründen die Sites untereinander auch isolieren, falls die Sensoren irgendwelche komischen Probleme machen.
Nur: wie bekomme ich das Routing im VPN hin (sowohl die Wartungs-Tablets an die Zentrale, als auch die Sites)? Das ist bisher mein größtes Verständnisproblem.
Und wie monitore ich das Ganze? (Datendurchsatz des VPN, der Sites, etc...) Bisher ist im PoC der Datendurchsatz ja minimal, aber bei der Menge an Sensoren habe ich schon die Befürchtung, das es RICHTIG viel werden kann. Das würde ich gerne irgendwie "sehen", damit ich ggf. den Datentransfer einschränken oder zeitlich verschieben kann.
Danke für euer Feedback!
ich habe mittlerweile meine Ausbildung zur Anwendungsentwicklerin hinter mir, und habe bereits ein funktionierendes Projekt für meinen Chef umgesetzt. Sammeln von Sensordaten verschiedener Lagerstandorte.
Im Kleinen, als proof of concept. Nur lokales Netzwerk mit virtuellen Maschinen.
Jetzt ist es leider so das ich kein Systemintegrator bin und mir gewisse Kenntnisse im Detail fehlen.
Ich habe so gut es geht hier Tutorials gelesen und auch schon viel verstanden aber wohl sicherlich noch nicht alles.
Also:
meine Applikation sammelt Sensordaten.
Temperatur, Luftfeuchtigkeit, Bilddaten. Je nach Sensor/Standort. Individuell.
Jeder dieser Sensoren bekommt eine IP im Netzwerk.
Diese werden per REST-API auf einem Server gespeichert.
Funktioniert prima, mit mehreren virtuellen Maschinen getestet, auch schon mit div. Raspis.
Jetzt soll das an alle Standorte gehen, großer Rollout.
Problem: ich habe von Netzwerk leider keine Profi-Ahnung. Ich würde das aber schon sehr gerne selbst machen, da es nicht zeitkritisch ist und ich auch dadurch ggf. meine Applikation besser machen könnte.
Ausgangs-Szenario:
Netzwerk Zentrale
- VPN-Server site2site mit allen Datenspeichern und ausgewählten Clients direkt (Wartungs-Tablets)
- Datenempfang der Sites per REST-API (Webserver)
- Linux-Terminalserver für die Mitarbeiter vor Ort zur grafischen Auswertung oder Abfrage des Fehlerprotokolls
- wahrscheinlich im VPN Class A (damit kein Adresskonflikt mit den anderen Netzwerken entsteht)?
Datenspeicher einer Site
- muß an die Zentrale Daten schicken und empfangen können (gesammelte Sensor-Daten)
- fungiert als VPN-Server und Router um so einzelnen Clients ggf. auch den direkten Datenaustausch mit dem Netzwerk der Zentrale zu ermöglichen (z.B. RDP auf den Ubuntu Server)
- die Sites dürfen untereinander vorerst NICHT kommunizieren; vielleicht später, aber aktuell sollen bewußt alle Daten in der Zentrale gesammelt und verarbeitet werden
Sensoren
- alle speichern Daten in ihrem eigenen Datenspeicher (Site A - Site X) klassisches Client-Server-Netzwerk
- bekommen eigenes Class C oder B (eine Site hätte tatsächlich schon über 300 Sensoren)
- dürfen/sollen aktuell nicht untereinander in deren Netzwerk kommunizieren können, wäre aber vielleicht für die Zukunft als Option ganz interessant (Wartungszwecke)
- ein paar Sensoren sind per Mobilfunk angebunden, weil zu weit weg vom WLAN/Kabelnetzwerk -> brauchen also VPN-Einwahl
- vereinzelt lokale Clients (Wartungsarbeiten; Tablets), die dann über den Datenspeicher der Site im VPN geroutet werden?
- kein DHCP, gibt ein Installations-Script
So, ist meine Vermutung mit den Netzwerkgrößen so richtig?
Ich will aus Sicherheitsgründen die Sites untereinander auch isolieren, falls die Sensoren irgendwelche komischen Probleme machen.
Nur: wie bekomme ich das Routing im VPN hin (sowohl die Wartungs-Tablets an die Zentrale, als auch die Sites)? Das ist bisher mein größtes Verständnisproblem.
Und wie monitore ich das Ganze? (Datendurchsatz des VPN, der Sites, etc...) Bisher ist im PoC der Datendurchsatz ja minimal, aber bei der Menge an Sensoren habe ich schon die Befürchtung, das es RICHTIG viel werden kann. Das würde ich gerne irgendwie "sehen", damit ich ggf. den Datentransfer einschränken oder zeitlich verschieben kann.
Danke für euer Feedback!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 34251007332
Url: https://administrator.de/contentid/34251007332
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
12 Kommentare
Neuester Kommentar
Class A
Netzwerk Klassen sind tiefstes Neandertal.Die gibt es schon seit über 25 Jahren nicht mehr und sind längst abgeschafft. Solche Allerwelts Binsen sollte eigentlich auch eine moderne Anwendungsentwicklerin kennen...
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Vergiss diesen Klassen Unsinn also ganz schnell wieder!
Du meinst aber hoffentlich nicht das du hier mit einem /8er Präfix arbeitest, oder? Das wäre schlechtes IP Adressdesign. 🤔
Die goldene Netzwerker Regel lautet nicht mehr als 150-200 Geräte in einer Layer 2 Broadcast Domain. Gut, nun werden deine 300 Sensoren sicher nur sehr, sehr geringes Traffic Volumen erzeugen und (hoffentlich) nicht per Broad- oder Multicast kommunizieren (leider fehlt da auch die Information!) Damit kann man auch sehr wahrscheinlich 300 Endgeräte in der Konstellation in ein gemeinsames L2 Netzwerk bringen ohne segmentieren zu müssen. Ein /23er Präfix (max. 512 Endgeräte) wäre dann völlig ausreichend.
Die Kommunikation untereinander regeln die Router über ihre Firewall oder das VPN Setup.
Kollege @Vision2015 hat es schon gesagt: Leider schreibst du nicht ob dieses Netz schon besteht oder ob du grüne Wiese hast?
Wenn es Ersteres ist, dann musst du dir über IP Adressen oder Adressdesign ja keinerlei Gedanken machen und stöpselst deine Anwendung einfach an und gut iss...
Bei einer grünen Wiese solltest du dir zuallererst über die Topologie klar sein und zwingend ein IP Adresskonzept erstellen.
Das nächste wäre festzulegen welches VPN Protokoll du auf dem oder den Geräten oder Router verwendest.
Hier ist zudem die Frage zu klären ob das überhaupt sein muss, denn Zentrale und Nebenstellen besitzen vermutlich Router oder Firewalls und sollen übers Internet kommunizieren?!
Wenn ja und wenn diese die VPN Funktionen plus Firewall gleich an Bord haben wäre das sicherheitstechnisch ein deutlicher Vorteil. Oder betreibst du deine Server/Datenspeicher mit einem Bein direkt im Internet?? Sie auch Fragen des Kollegen @Vision2015 oben.
An all diesen Fragen erkennst du schon das dein Design des Gesamtnetzes nicht wirklich klar ist. Eine kleine Skizze was du planst wäre für das Verständnis sehr hilfreich.
wie bekomme ich das Routing im VPN hin
Entweder über entsprechende Router mit VPN Funktionen oder wie du selber schreibst über deine Server. Bei letzterem hast du die freie Auswahl bei den Protokollen (IPsec, OpenVPN, Wireguard etc.) Bei den Routern musst du aufs Featureset achten.VPNs gehören bekanntlich immer auf die Peripherie. Folglich hat ein VPN Router da dann deutliche (Sicherheits)vorteile.
Und wie monitore ich das Ganze?
Dafür gibt es eine Menge freier und auch kommerzieller Tools.- LibreNMS
- Observium
- PRTG
- Nagios
- Zabbix
- CheckMK
Du hast also noch etwas detailiertere Planung vor dir. Eine gute Planung ist bekanntlich das halbe Netzwerk!😉
Was macht ihr denn da? Temperatur, Feuchte, Drücke, Füllstand... schicken wir in Massen über LoRa an Gateways und sammeln die Daten mit verschiedenen Servern ein. Bilder brauchen wir nicht, aber Datenschutz technisch will ich mir da den Schuh auch nicht anziehen.
An einigen Orten geht auch was über WLan + MQTT mit Eigenentwicklungen auf ESP32 basis. Wir haben dafür kein eigenes Netz aufgebaut... Bis auf das Lokale IIoT VLan.
Wir haben wegen dem "Netzwerk Problem" keine IP Sensorik verwendet. LoRa Gateway und du kannst Sensoren ohne Ende verbauen + Redundanzen wenn andere Gateways in der Ecke sind. Dazu können wir neue Sensoren verschicken und montieren lassen, ohne das dritte wieder das Netz konfigurieren müssen.
An einigen Orten geht auch was über WLan + MQTT mit Eigenentwicklungen auf ESP32 basis. Wir haben dafür kein eigenes Netz aufgebaut... Bis auf das Lokale IIoT VLan.
Wir haben wegen dem "Netzwerk Problem" keine IP Sensorik verwendet. LoRa Gateway und du kannst Sensoren ohne Ende verbauen + Redundanzen wenn andere Gateways in der Ecke sind. Dazu können wir neue Sensoren verschicken und montieren lassen, ohne das dritte wieder das Netz konfigurieren müssen.
Hallo,
das was du vorhast ist kein Zauberwerk.
Du hast ein bißchen an Info geliefert, meiner Meinung nach fehlen aber die wichtigen Infos um dir bei der Netzwerkplanung behilflich sein zu können.
-
ein paar Fragen/Hinweise von mir:
Es geht um einen Hauptstandort und um wie viele Nebenstandorte ?
Maximal wieviele Sensoren sollen pro Standort installiert werden ?
Bitte Planung/Erwartung für die nächsten 10 bis 15 Jahre machen.
Wird das Firewalling/Routing/VPN der Sensornetzwerke an der Zentrale und an den Nebenstellen mit in eine bestehende Lösung integriert oder wird es ein ganz eigenständiges System werden ?
Wer soll das Firewalling/Routing/VPN der Sensornetzwerke einrichten und betreuen ?
Meine Empfehlung an dich: Du nicht, laß es eure(n) reguläre(n) Netzwerker machen, du gibst nur die Anforderungen vor.
Nimm den oder die Netzwerker mit in die Planung.
Prüfe welche Netzwerk IP Adressen und VLANs bis jetzt an allen Standorten verwendet werden und suche dir dann einen freien Bereich den du dir für deine Sensornetzwerke verwenden kannst.
Ein Beispiel bzw. eine Möglichkeit einer IP und VLAN Vergabe ist:
VLAN 99 ist noch nicht vergeben -> Das Sensornetzwerk wird VLAN 99 (an jedem Standort !)
Der IP Adressbereich 10.99.0.0/16 (10.99.0.1 bis 10.99.254.254) bzw. Teilbereiche daraus sind noch nicht vergeben.
-> die einzelnen Sensornetzwerke kommen aus dem Bereich 10.99.0.0/16.
damit kannst du 64 Netzwerke je ca. 1000 Sensoren 10.99.0.0/22, 10.99.4.0/22 etc.)
oder 128 Netzwerke je ca 500 Sensoren (10.99.0.0/23, 10.99.2.0/23 etc.)
oder 254 Netzwerke je ca 250 Sensoren (10.99.0.0/24, 10.99.1.0/24 etc.)
oder eine Mischung daraus aufbauen.
Das sollte erstmal als Hilfestellung ausreichen.
Wie dann die VPN Verbindungen und der Datenaustausch stattfinden soll wird dann danach betrachtet und gelöst.
-
Noch ein paar Fragen zur Datensammlung und Auswertung die dann für die Client,Server,VPN Einrichtung etc. relevant werden:
Wie zeitnah müssen die Daten auf dem zentralen Server vorliegen ?
Hat jede Nebenstelle einen lokalen Server ?
Was passiert wenn die Verbindung zur Zentrale bzw. das VPN ausfällt ?
Was passiert wenn der Server in der Zentrale, bzw. ein Server in den Außenstellen ausfällt ?
Welche Zeitvorgaben bzw. Backupmöglichleiten sind vorhanden, bzw. geplant ?
etc.
Wer ist für die Netzwerkinfrastruktur für die Sensoren verantwortlich bzw. wie ist sie mit eingeplant ?
Bei ca. 300 Sensoren werden schon 6 bis 7 48-port Switche benötigt, auch diese sollten mit eingeplant werden.
Gruß
CH
CH
das was du vorhast ist kein Zauberwerk.
Du hast ein bißchen an Info geliefert, meiner Meinung nach fehlen aber die wichtigen Infos um dir bei der Netzwerkplanung behilflich sein zu können.
-
ein paar Fragen/Hinweise von mir:
Es geht um einen Hauptstandort und um wie viele Nebenstandorte ?
Maximal wieviele Sensoren sollen pro Standort installiert werden ?
Bitte Planung/Erwartung für die nächsten 10 bis 15 Jahre machen.
Wird das Firewalling/Routing/VPN der Sensornetzwerke an der Zentrale und an den Nebenstellen mit in eine bestehende Lösung integriert oder wird es ein ganz eigenständiges System werden ?
Wer soll das Firewalling/Routing/VPN der Sensornetzwerke einrichten und betreuen ?
Meine Empfehlung an dich: Du nicht, laß es eure(n) reguläre(n) Netzwerker machen, du gibst nur die Anforderungen vor.
Nimm den oder die Netzwerker mit in die Planung.
Prüfe welche Netzwerk IP Adressen und VLANs bis jetzt an allen Standorten verwendet werden und suche dir dann einen freien Bereich den du dir für deine Sensornetzwerke verwenden kannst.
Ein Beispiel bzw. eine Möglichkeit einer IP und VLAN Vergabe ist:
VLAN 99 ist noch nicht vergeben -> Das Sensornetzwerk wird VLAN 99 (an jedem Standort !)
Der IP Adressbereich 10.99.0.0/16 (10.99.0.1 bis 10.99.254.254) bzw. Teilbereiche daraus sind noch nicht vergeben.
-> die einzelnen Sensornetzwerke kommen aus dem Bereich 10.99.0.0/16.
damit kannst du 64 Netzwerke je ca. 1000 Sensoren 10.99.0.0/22, 10.99.4.0/22 etc.)
oder 128 Netzwerke je ca 500 Sensoren (10.99.0.0/23, 10.99.2.0/23 etc.)
oder 254 Netzwerke je ca 250 Sensoren (10.99.0.0/24, 10.99.1.0/24 etc.)
oder eine Mischung daraus aufbauen.
Das sollte erstmal als Hilfestellung ausreichen.
Wie dann die VPN Verbindungen und der Datenaustausch stattfinden soll wird dann danach betrachtet und gelöst.
-
Noch ein paar Fragen zur Datensammlung und Auswertung die dann für die Client,Server,VPN Einrichtung etc. relevant werden:
Wie zeitnah müssen die Daten auf dem zentralen Server vorliegen ?
Hat jede Nebenstelle einen lokalen Server ?
Was passiert wenn die Verbindung zur Zentrale bzw. das VPN ausfällt ?
Was passiert wenn der Server in der Zentrale, bzw. ein Server in den Außenstellen ausfällt ?
Welche Zeitvorgaben bzw. Backupmöglichleiten sind vorhanden, bzw. geplant ?
etc.
Wer ist für die Netzwerkinfrastruktur für die Sensoren verantwortlich bzw. wie ist sie mit eingeplant ?
Bei ca. 300 Sensoren werden schon 6 bis 7 48-port Switche benötigt, auch diese sollten mit eingeplant werden.
Gruß
CH
CH
Zitat von @kuekensabs:
- warum ich Bilder sammeln muß, wozu hat das was mit Datenschutz zu tun? Warum muß ich als Entwickler mir Gedanken machen, wenn der Kunde das in seinem Scope braucht? Seltsame Fragen hier von manchen...
- warum ich Bilder sammeln muß, wozu hat das was mit Datenschutz zu tun? Warum muß ich als Entwickler mir Gedanken machen, wenn der Kunde das in seinem Scope braucht? Seltsame Fragen hier von manchen...
Wenn du als Entwicklerin Bilder, also eventuell Personenbezogene Daten machts und Transportierst, Speicherst (Bilder Lagerfläche vielleicht), und dies unverschlüsselt in deinem Stück Software von A nach B, für "jeden" zugänglich, darf sich der Kunde fragen ob das Stand der Technik ist oder nicht ;). Beziehungsweise wer für die Sicherheit der Bilder Verantwortung trägt. Und dann kommst du IHMO als Entwicklerin in frage, dein Chef, eure Datenschutzabteilung, das Vertragliche Regelwerk, der Kunde... Das wirst du aber ja alles abgeklärt haben sonst gäbe es keine Fragezeichen ;).
Wenn du das Seltsam findest OK, ist doch nur ein Freundlicher hinweise. Wenn dein Setup mit 5 Clients lüpt wirds auch mit 300 fluppen
Zumal Bilder usw. ja mit reinen Sensoren Daten soviel zu tun haben wie ein Fisch mit einem Fahrrad! Wer lesen kann...! 😉
Merkzettel: VPN Installation mit Wireguard
Lesen und verstehen! 😉
Wireguard macht das mit seinem Cryptokey Routing alles ganz automatisch. Steht alles im obigen Tutorial!
Wenn du mit IPsec VPNs arbeiten willst machst du das mit Strongswan auf Ubuntu. Siehe zu der Thematik auch hier.
mir ging es von der Beschreibung aber eher um die Einordnung der geplanten Netzwerkgrößen.
Dann redet man heutzutage aber niemals mehr von den Klassen aus dem neandertal sondern von Präfixes. ich hätte gerne für alle Clients eine eigene IP
Wo ist dein Problem?!? Da hast du immer 2 Optionen:- Statisch zuweisen nach deinem IP Adressplan
- Über die Mac Adresse der Clients eine Bindung auf eine feste IP im DHCP Server setzen.
und wie bekomme ich das Routing im Wireguard hin?
Wireguard läuft ja immer auf einem Router! Merkzettel: VPN Installation mit Wireguard
Lesen und verstehen! 😉
Wireguard macht das mit seinem Cryptokey Routing alles ganz automatisch. Steht alles im obigen Tutorial!
Wenn du mit IPsec VPNs arbeiten willst machst du das mit Strongswan auf Ubuntu. Siehe zu der Thematik auch hier.
Moin...
mir geht das auch auf den zeiger, Datenschutz ist ja gut und schon, aber Fachlich hat das nix mit deiner Frage zu tun! das schweift gerne hier mal ab- einige meinen, nur weil sie DSGVO Lesen können, sind sie auch gleich Juristen! viel schlimmer ist allerdings, das sie immer versuchen anderen ihre meinung aufzudrängen!
mach dir nix draus, einfach ignorieren - fachlich kommt da meistens eh nix!
Frank
Zitat von @kuekensabs:
Ich verstehe noch immer nicht, warum man hier über Datenschutz diskutiert, wir sind in einem IT-Forum.
du hast ja so Recht!Zitat von @themuck:
Wenn du als Entwicklerin Bilder, also eventuell Personenbezogene Daten machts und Transportierst, Speicherst (Bilder Lagerfläche vielleicht), und dies unverschlüsselt in deinem Stück Software von A nach B, für "jeden" zugänglich, darf sich der Kunde fragen ob das Stand der Technik ist oder nicht ;). Beziehungsweise wer für die Sicherheit der Bilder Verantwortung trägt. Und dann kommst du IHMO als Entwicklerin in frage, dein Chef, eure Datenschutzabteilung, das Vertragliche Regelwerk, der Kunde... Das wirst du aber ja alles abgeklärt haben sonst gäbe es keine Fragezeichen ;).
Wenn du als Entwicklerin Bilder, also eventuell Personenbezogene Daten machts und Transportierst, Speicherst (Bilder Lagerfläche vielleicht), und dies unverschlüsselt in deinem Stück Software von A nach B, für "jeden" zugänglich, darf sich der Kunde fragen ob das Stand der Technik ist oder nicht ;). Beziehungsweise wer für die Sicherheit der Bilder Verantwortung trägt. Und dann kommst du IHMO als Entwicklerin in frage, dein Chef, eure Datenschutzabteilung, das Vertragliche Regelwerk, der Kunde... Das wirst du aber ja alles abgeklärt haben sonst gäbe es keine Fragezeichen ;).
Ich verstehe noch immer nicht, warum man hier über Datenschutz diskutiert, wir sind in einem IT-Forum.
mir geht das auch auf den zeiger, Datenschutz ist ja gut und schon, aber Fachlich hat das nix mit deiner Frage zu tun! das schweift gerne hier mal ab- einige meinen, nur weil sie DSGVO Lesen können, sind sie auch gleich Juristen! viel schlimmer ist allerdings, das sie immer versuchen anderen ihre meinung aufzudrängen!
mach dir nix draus, einfach ignorieren - fachlich kommt da meistens eh nix!
Für das andere Thema gibt es Voll-Juristen, die das studiert haben und im Notfall auch dafür haften.
+1Daher bitte keine weiteren sinnfreien gutgemeinten Tips zu diesem Thema, danke (:
Frank