13
Netzwerkstruktur Studentenwohnheim 100 Personen
Hallo liebe Community,
ich wohne mit ca. 100 weiteren Studenten in einem Studentenwohnheim, das von einem Verein getragen wird.
Wir plagen uns oft mit unserem Netzwerk herum, da es schon beim schief anschauen in die Knie geht. Der Verein hat nicht die Mittel sich professionell beraten zu lassen, daher sind wir Studenten auf der Suche nach einer besseren Lösung. Häufig ist das Problem, dass Leute einen Router an ihre Buchse im Zimmer hängen, den nicht korrekt konfigurieren (bspw. den DHCP Server anlassen) und so die anderen Geräte im Netz stören.
Ich kenne nicht alle Details vom Netzwerkaufbau, aber hier sind die Informationen die ich habe:
- Alle Zimmer-Anschlüsse sind über Switches mit einem zentralen Server verbunden
- Dieser Server regelt den Zugang ins Internet. Wir müssen jedes Mal wenn wir uns neu mit dem Netzwerk verbinden einen personalisierten Zugangscode eingeben.
- An einigen Punkten im Haus sind APs installiert.
- Es existiert ein Netzwerk-Drucker auf den alle zugreifen können
Was muss am Netzwerkaufbau geändert werden um zu verhindern, dass einzelne Geräte das ganze Netzwerk lahmlegen können?
Meine erste Idee ist, dass man verhindern muss, dass die Geräte untereinander kommunizieren können. Ist das der richtige Ansatz? Falls ja, wie wird das umgesetzt?
Ich bin gespannt auf eure Hilfe.
Viele Grüße
Steffen
ich wohne mit ca. 100 weiteren Studenten in einem Studentenwohnheim, das von einem Verein getragen wird.
Wir plagen uns oft mit unserem Netzwerk herum, da es schon beim schief anschauen in die Knie geht. Der Verein hat nicht die Mittel sich professionell beraten zu lassen, daher sind wir Studenten auf der Suche nach einer besseren Lösung. Häufig ist das Problem, dass Leute einen Router an ihre Buchse im Zimmer hängen, den nicht korrekt konfigurieren (bspw. den DHCP Server anlassen) und so die anderen Geräte im Netz stören.
Ich kenne nicht alle Details vom Netzwerkaufbau, aber hier sind die Informationen die ich habe:
- Alle Zimmer-Anschlüsse sind über Switches mit einem zentralen Server verbunden
- Dieser Server regelt den Zugang ins Internet. Wir müssen jedes Mal wenn wir uns neu mit dem Netzwerk verbinden einen personalisierten Zugangscode eingeben.
- An einigen Punkten im Haus sind APs installiert.
- Es existiert ein Netzwerk-Drucker auf den alle zugreifen können
Was muss am Netzwerkaufbau geändert werden um zu verhindern, dass einzelne Geräte das ganze Netzwerk lahmlegen können?
Meine erste Idee ist, dass man verhindern muss, dass die Geräte untereinander kommunizieren können. Ist das der richtige Ansatz? Falls ja, wie wird das umgesetzt?
Ich bin gespannt auf eure Hilfe.
Viele Grüße
Steffen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 511173
Url: https://administrator.de/contentid/511173
Ausgedruckt am: 20.11.2024 um 11:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
Dein Stichwort ist VLAN.
Damit bekommt jeder Student sein eigenes Netzwerk und kann die anderen nicht stören.
z.B.
Stundent1 = 10.1.1.1/24
Stundent2 = 10.1.1.2/24
Dazu benötigt Ihr einen VLAN fähigen Switch und Router.
Als Router kann z.B. ein APU 2C4 oder ein beliebiger PC mit 2 Netzwerkkarten mit OPNSense herhalten.
Stefan
Dein Stichwort ist VLAN.
Damit bekommt jeder Student sein eigenes Netzwerk und kann die anderen nicht stören.
z.B.
Stundent1 = 10.1.1.1/24
Stundent2 = 10.1.1.2/24
Dazu benötigt Ihr einen VLAN fähigen Switch und Router.
Als Router kann z.B. ein APU 2C4 oder ein beliebiger PC mit 2 Netzwerkkarten mit OPNSense herhalten.
Stefan
Moin,
Port Security und 802.1x sind die Stichworte für Dich.
Du besorgst Dir einen Switch der das kann und richtest 802.1x und Radius ein. Bei den richtigen switchen kannst Du auch einstellen, daß die Ports nur mit dem Uplink kommunizieren dürfen und untereinander nicht.
Damit solltet ihr diese Probleme erschlagen können.
lks
Port Security und 802.1x sind die Stichworte für Dich.
Du besorgst Dir einen Switch der das kann und richtest 802.1x und Radius ein. Bei den richtigen switchen kannst Du auch einstellen, daß die Ports nur mit dem Uplink kommunizieren dürfen und untereinander nicht.
Damit solltet ihr diese Probleme erschlagen können.
lks
Stichworte für die Recherche:
- private VLANs
- DHCP-Snooping
- Spanning Tree Protokoll oder proprietäres Loopprotection
- IP Source Guard, Port Security
- Broadcast Storm Control, CPU Protection
Gruß
sk
- private VLANs
- DHCP-Snooping
- Spanning Tree Protokoll oder proprietäres Loopprotection
- IP Source Guard, Port Security
- Broadcast Storm Control, CPU Protection
Gruß
sk
Moin,
wäre es nicht erstmmal sinnvoller zu fragen, ob Steffen überhaupt hard- und/oder softwaretechnisch etwas ändern darf? Wenn der betreibende Verein schon kein Geld für eine beratende Fachfirma hat, wird er vermutlich auch keine Mittel für eine sinnvolle Ausstattung haben.
Außerdem ist noch unklar, welche Verbindungsgeschwindikeit ins Internet zur Verfügung steht. Bei rund 100 Bewohnern ist das schon ein relevanter Faktor, wenn alle (oder auch nur ein Großteil) Streaming, Spielkonsolen, PCs, Mobilgeräte usw. benutzen wollen. Da machen schnell ein paar "Poweruser" die Leitung dicht und der Rest guckt in die Röhre.
Gruß
cykes
wäre es nicht erstmmal sinnvoller zu fragen, ob Steffen überhaupt hard- und/oder softwaretechnisch etwas ändern darf? Wenn der betreibende Verein schon kein Geld für eine beratende Fachfirma hat, wird er vermutlich auch keine Mittel für eine sinnvolle Ausstattung haben.
Außerdem ist noch unklar, welche Verbindungsgeschwindikeit ins Internet zur Verfügung steht. Bei rund 100 Bewohnern ist das schon ein relevanter Faktor, wenn alle (oder auch nur ein Großteil) Streaming, Spielkonsolen, PCs, Mobilgeräte usw. benutzen wollen. Da machen schnell ein paar "Poweruser" die Leitung dicht und der Rest guckt in die Röhre.
Gruß
cykes
Im Grunde ist es kinderleicht und oben ja schon genannt worden. Ein WLAN mit 100 Personen zum Fliegen zu bekommen ist mit der richtigen Hardware und Voraussetzungen in der Regel ein Kinderspiel.
Sollen die Bewohner WLAN und LAN machen können oder reicht denen eine performante WLAN Anbindung (Lokal, Eduroam usw.) ?
Solche Studentenwohnheim Technik krankt fast immer an
Man kann das aber mit etwas KnowHow und studentischen Hilfskräften im Handumdrehen ändern. Etwas muss der Verein aber auch investieren, denn mit billiger Blödmarkt AP Hardware wird das nix.
Zudem solltest du klären was dort an Switches verbaut ist und welche Fähigkeiten (VLANs ?) die haben. Und, ganz wichtig, wie die Kabel Infrastruktur aussieht um die APs anzuschliessen.
Hier muss Kabelinfrastruktur Vandalismus sicher an den Punkten liegen wo Access Points hinmüssen um das Gebäude performant auszuleuchten mit WLAN.
Diese Schlüsselpunkte solltest du wasserdicht klären.
- Man muss das Netzwerk in VLANs segmentieren z.B. pro Etage.
- In der Etage bindet man entsprechend Access Points an die die User und Traffic Last abkönnen
- Fertisch
Sollen die Bewohner WLAN und LAN machen können oder reicht denen eine performante WLAN Anbindung (Lokal, Eduroam usw.) ?
Solche Studentenwohnheim Technik krankt fast immer an
- schlechter WLAN Hardware die die User und Trafficzahlen nicht kann
- schlechter Ausleuchtung
- schlechte oder gar keine Segmentierung der Netze
Man kann das aber mit etwas KnowHow und studentischen Hilfskräften im Handumdrehen ändern. Etwas muss der Verein aber auch investieren, denn mit billiger Blödmarkt AP Hardware wird das nix.
Zudem solltest du klären was dort an Switches verbaut ist und welche Fähigkeiten (VLANs ?) die haben. Und, ganz wichtig, wie die Kabel Infrastruktur aussieht um die APs anzuschliessen.
Hier muss Kabelinfrastruktur Vandalismus sicher an den Punkten liegen wo Access Points hinmüssen um das Gebäude performant auszuleuchten mit WLAN.
Diese Schlüsselpunkte solltest du wasserdicht klären.
Erstmal braucht es eine Bestandsaufnahme der gegebenen Hardware und du müsstest vom Verein auch irgendwie zuständig sein. Welche Funktion hast du im Verein? Was für Studenten sind das denn, ist keiner mit IT Schwerpunkt dabei?
Hallo Steffen,
welche Technik habt ihr im Einsatz?
Du kannst auch mit anderen StudentenNetzen Kontakt aufnehmen.
http://studentennetze.de
welche Technik habt ihr im Einsatz?
Du kannst auch mit anderen StudentenNetzen Kontakt aufnehmen.
http://studentennetze.de
Wäre es nicht am sinnvollsten, erstmal eigene Router zu verbieten und nur Switche auf den Zimmern zu erlauben (wenn man mehrere Geräte über Ethernet anschließen möchte/muss)? Damit fällt laut deiner Schilderung schonmal ein großer Störfaktor weg.
Ansonsten ist der Ansatz mit einem eigenen Subnetz/Zimmer mMn auch das Mittel der Wahl, da hierbei (wahrscheinlich) keine neue Hardware angeschafft werden muss.
Beispielsweise bekommt Zimmer 5 im EG die 192.168.5.0/24, Zimmer 10 im 2.Stock die 192.168.210/24 usw. (Ja ich weiß das das im 3.Stock nicht mehr geht :-P).
Warum sprichst du noch an erster Stelle mit dem zuständigen SysAdmin?
Ansonsten ist der Ansatz mit einem eigenen Subnetz/Zimmer mMn auch das Mittel der Wahl, da hierbei (wahrscheinlich) keine neue Hardware angeschafft werden muss.
Beispielsweise bekommt Zimmer 5 im EG die 192.168.5.0/24, Zimmer 10 im 2.Stock die 192.168.210/24 usw. (Ja ich weiß das das im 3.Stock nicht mehr geht :-P).
Warum sprichst du noch an erster Stelle mit dem zuständigen SysAdmin?
Zitat von @Tideon:
Wäre es nicht am sinnvollsten, erstmal eigene Router zu verbieten und nur Switche auf den Zimmern zu erlauben (wenn man mehrere Geräte über Ethernet anschließen möchte/muss)?
Wäre es nicht am sinnvollsten, erstmal eigene Router zu verbieten und nur Switche auf den Zimmern zu erlauben (wenn man mehrere Geräte über Ethernet anschließen möchte/muss)?
Schwachfug..
Man will seine Geräte nicht "nackt" ohne Schutz iin einem Studentennetz haben.
Sinnvoller wäre es, nur Router zu erlauben, deren Konfiguration vorher mit der "zentralen IT" abgestimmt wurde. oder gleich vorkonfigurierte Router wie z.B. DDwrts oder Mikrotiks zu vermieten/verkaufen.
lks
PS: Am sinnvollsten ist es natürlich, wie schon oben gesagt. Portscurity, VLANs, Radius und 802.1X zu verwenden.
Wäre es nicht am sinnvollsten, erstmal eigene Router zu verbieten und nur Switche auf den Zimmern zu erlauben
Wäre Unsinn, denn das kannst du nicht kontrollieren.Wenn dann müsstest du eine 802.1x Port Security dort an den Wohnungsports aufsetzen, die das dann erzwingt von den Usern. Appelle usw. nützen da bekanntlich wenig bis gar nicht.
.1x bedeutet dann aber auch ein Port Management. Sprich einer muss sich darum kümmern die User Mac Adressen oder Namen zu verwalten und zu pflegen.
Gut wenn die Stidies das in Selbstverwaltung machen ok. Aber was wenns mal kneift mit den Admins oder einer weg ist usw. Da muss dann Backup ran sei es aus Verien oder Hilfskraft. All das muss man bedenken und auch planen.
Sowas administriert sich ja nicht von selber !!
Generell ist 802.1x Port Security oder der Betrieb eines eigenen PPPoE Auth Servers an den Wohnheim Ports schon der richtige Weg das sauber zu steuern und um die größtmögliche Freiheit der User zu bekommen.
Es muss dann aber auch administriert werden.
Ich weiß nicht, ob das hier die richtige Vorgehensweise im Forum ist, aber ich möchte gerne auf die vielen Antworten zusammenfassend reagieren:
Der Input hat mir schon sehr weitergeholfen. Es ging mir in erster Linie darum, der Verwaltung Möglichkeiten aufzuzeigen, wie man die Probleme in Griff bekommen kann und was dazu nötig ist. Ob ich dann bei der Umsetzung auch miteinbezogen werde, wird sich noch zeigen.
VLAN: Die Einrichtung von VLANs leuchtet mir ein und scheint mir sehr passender Weg zu sein. Ich hab das heute mal angeregt und es wird jetzt überprüft, ob die Switches diese Funktion anbieten. Kann man die VLANs auch so konfigurieren, dass der Drucker weiterhin für alle zugänglich ist?
802.1X: Verstehe ich das richtig? Dieses Protokoll könnte als Ersatz für das System mit den Zugangscodes fungieren? Man müsste ein RADIUS Server aufsetzen. Wie wird dann der Login ablaufen? Ich kenne es bei eduroam, dass ich bei der WLAN-Verbindung ein Benutzername und Passwort angebe. Ist das das gleiche?
Wenn möglich, würde ich es gerne verhindern den Zugang über MAC-Adressen zu regeln. Ständig hat jemand ein neues Gerät und muss dann jedes Mal beim Admin diese MAC-Adresse freigeben lassen.
Es wäre gut, wenn unsere zukünftige Netzwerkstruktur es zulässt, dass Fernseher, Spielekonsolen, Chromecast usw. über das WLAN ins Internet kommen. Gegebenenfalls dadurch, dass wer ein eigenes Netz haben will, sich eins einrichten kann ohne die anderen zu stören.
Der Input hat mir schon sehr weitergeholfen. Es ging mir in erster Linie darum, der Verwaltung Möglichkeiten aufzuzeigen, wie man die Probleme in Griff bekommen kann und was dazu nötig ist. Ob ich dann bei der Umsetzung auch miteinbezogen werde, wird sich noch zeigen.
VLAN: Die Einrichtung von VLANs leuchtet mir ein und scheint mir sehr passender Weg zu sein. Ich hab das heute mal angeregt und es wird jetzt überprüft, ob die Switches diese Funktion anbieten. Kann man die VLANs auch so konfigurieren, dass der Drucker weiterhin für alle zugänglich ist?
802.1X: Verstehe ich das richtig? Dieses Protokoll könnte als Ersatz für das System mit den Zugangscodes fungieren? Man müsste ein RADIUS Server aufsetzen. Wie wird dann der Login ablaufen? Ich kenne es bei eduroam, dass ich bei der WLAN-Verbindung ein Benutzername und Passwort angebe. Ist das das gleiche?
Wenn möglich, würde ich es gerne verhindern den Zugang über MAC-Adressen zu regeln. Ständig hat jemand ein neues Gerät und muss dann jedes Mal beim Admin diese MAC-Adresse freigeben lassen.
Es wäre gut, wenn unsere zukünftige Netzwerkstruktur es zulässt, dass Fernseher, Spielekonsolen, Chromecast usw. über das WLAN ins Internet kommen. Gegebenenfalls dadurch, dass wer ein eigenes Netz haben will, sich eins einrichten kann ohne die anderen zu stören.
Hallo,
ich würde bei den VLANs bleiben.
Mal ein Live-Vergleich für einen Kunden was ich vor Jahren mal realisiert habe.
Das ist ein Officecenter in Hamburg welches Büro- und Konferenzräume vermietet.
Jeder Raum im Gebäude hat ein eigenes VLAN und damit IP-Adressbereich.
Raum 3.01 (3. OG, Raum 1)
LAN
VLAN 301
IP = 10.3.1.0/24
GW+DNS = 10.3.1.1
DHCP = 10.3.1.100 - 10.3.1.254
WLAN
SSID = Raum301
IP = siehe Oben
Damit sind LAN und WLAN Geräte im gleichen Netzwerk.
Der Kunde kann mit seinem Netzwerk machen was er will.
Die öffentlichen Drucker sind in einem eigenem VLAN.
Man kann den Zugriff unter den VLANs genau mittels einer Firewall konfigurieren.
Internet ist ein sDSL 200 MBit LWL Anschluss.
Firewall ist eine Gateprotect GP400
Switch sind D-Link 3120
WLAN sind Ruckus R700 mit zentralem Controller
ich würde bei den VLANs bleiben.
Mal ein Live-Vergleich für einen Kunden was ich vor Jahren mal realisiert habe.
Das ist ein Officecenter in Hamburg welches Büro- und Konferenzräume vermietet.
Jeder Raum im Gebäude hat ein eigenes VLAN und damit IP-Adressbereich.
Raum 3.01 (3. OG, Raum 1)
LAN
VLAN 301
IP = 10.3.1.0/24
GW+DNS = 10.3.1.1
DHCP = 10.3.1.100 - 10.3.1.254
WLAN
SSID = Raum301
IP = siehe Oben
Damit sind LAN und WLAN Geräte im gleichen Netzwerk.
Der Kunde kann mit seinem Netzwerk machen was er will.
Die öffentlichen Drucker sind in einem eigenem VLAN.
Man kann den Zugriff unter den VLANs genau mittels einer Firewall konfigurieren.
Internet ist ein sDSL 200 MBit LWL Anschluss.
Firewall ist eine Gateprotect GP400
Switch sind D-Link 3120
WLAN sind Ruckus R700 mit zentralem Controller
Dem WLAN wird noch eine zentrale Bedeutung zukommen, hier wird man warscheinlich Geld in die Hand nehmen müssen. Bei 100 Studenten ist das schon ne Nummer, vielleicht kannst du die Leute dazu anhalten Streaming Clients nicht im WLAN zu nutzen sondern nach Möglichkeit mit Kabel anzubinden.
