Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Neue Netzwerkinfrastruktur

Mitglied: Zeppelin

Zeppelin (Level 1) - Jetzt verbinden

01.06.2017, aktualisiert 13:49 Uhr, 1214 Aufrufe, 12 Kommentare

Hallo zusammen,

ich bin neu hier in diesem Forum und dies wird hier mein erster Beitrag.

Ich bin Fachinformatiker und mein Schwerpunkt liegt nicht auf Netzwerktechnik. Einer meiner Kollegen, dessen Schwerpunkt Netzwerktechnik ist, behauptet das mein Vorschlag für eine neue Netzwerkinfrastruktur nicht realisierbar sei und es am doppelten NATing scheitern wird.

Über die Jahre ist die Netzwerkinfrastruktur gewachsen und zwar von einigen wenigen Mitarbeitern bis hin zu einigen Hunderten. Irgendwann hat jemand entschieden aus der großen Firma viele kleine Unternehmen zu gründen. Nun haben wir hier im Haus 8 verschiedene Netze. 8 Verschiedene Anbieter usw. Der Raum mit der Netzwerktechnik ist von der Verkabelung ein Chaos.
Beispiel: Es stehen zwei Schränke mit Switchen sich gegenüber, da zischen ca. 3m freier Raum. Statt die Netzwerkkabel sauer zu verlegen, wurden ein paar Kurze Kabel genommen und einfach von Links nach Rechts gepacht. Da bekommt Seilspringen eine neue Bedeutung.

Mein Optimierungsvorschlag wäre: Alle bestehenden Verträge zu kündigen durch die unterschiedlichen Vertragslaufzeiten, geht das nicht von jetzt auf gleich. Statt VDSL würden wir umrüsten auf LWL (Lichtwellenleiter/ Glasfaser). Alle 8 VDSL Business Verträge kosten zusammen mehr als 1 LWL Anschluss mit einem Download von 1 GBit/s und einem Upload von 200 MBit/s.

Nun benötigen wir aber wieder min. 8 Netze. Da dachte ich an VLAN´s. Der LWL Router kommt an ein Switch, welches z.B. in 16 VLANS unterteilt ist. 16 VLAN´s weil 8 Benötigt werden und 8 zur Reserve, Falls das Netzwerk noch wachsen sollte.

Eines der VLAN´s z.B. VLAN 1 soll zusätzlich durch eine Firewall geschützt werden. Eigentlich, kommt die Firewall gleich hinter dem Router. Aber ich möchte die Firewall hinter dem Switch um die Firewall nur auf das VLAN 1 anwenden. Hintergrund, die Hardwarefirewall ist nicht für für solch große Netzwerke ausgelegt, sondern für kleinere. Aus Lizenz gründen usw. würde ich gern die Firewall hinter dem Switch positionieren.


Hierzu gibt es eine Visualisierung:
30-05-_2017_15-22-13 - Klicke auf das Bild, um es zu vergrößern

Egal ob das VLAN 1 über ein Switch oder direkt an den Router angeschlossen wird, soll es laut unseren "Netzwerk Experten" nicht funktionieren. Seine Argumentation lautet immer "doppeltes NATing".
Meine Kenntnisse reiche nicht aus um das zu wiederlegen. Hat mein Kollege recht und es funktioniert nicht? Oder habe ich recht und es kann so funktionieren? Oder gibt es eine andere bessere Lösung?

Was sagt Ihr dazu?

Luftige Grüße
Zeppelin


Mitglied: michi1983
01.06.2017 um 13:57 Uhr
Hallo,

warum soll die Firewall das nicht schaffen?
Wie groß ist denn groß?
Wenn man die richtige Hardware verwendet und korrekt konfiguriert ist das auf jeden Fall umsetzbar. Ist ja jetzt nichts außergewöhnliches

Hast du denn bereits Hardware die du weiter verwenden möchtest/musst?
Falls ja welche (Hersteller und Modell)?

Gruß
Bitte warten ..
Mitglied: Kraemer
01.06.2017 um 13:58 Uhr
Moin,

du erwähnst leider nicht, was die Firewall konkret für eine Aufgabe bekommen soll. Magst du das bitte nachholen?

Gruß
Bitte warten ..
Mitglied: SlainteMhath
01.06.2017 um 14:16 Uhr
Moin,

wo genau sieht denn dein Kollege das "doppelte NATing"? Oder ist die Firewal hinter Switch 1 evtl. ein (BIllig-) Router? Evtl. reichen dir auch ACLs auf dem Switch aus?

lg,
Slainte
Bitte warten ..
Mitglied: Zeppelin
01.06.2017 um 15:25 Uhr
Hallo michi1983,

vielen dank für die zügige Antwort

Die Firewall soll es laut unseren "Netzwerk Spezialisten" dafür nicht vorgesehen sein, weil unser Netzwerk hier für 100 Mitarbeiter ausgelegt ist... Das kann ich nicht nachvollziehen. Es sind aber auch unterschiedliche Berechtigungen die für jedes Unternehmen anders aussehen. Es gibt nur ein Netzwerk, welches mit einer Hardware-Firewall gesichert werden soll. Vor den anderen Netzwerken ist eine Firewall nicht erwünscht.

Wenn es nach mir gehen würde, würde eh alles etwas anders aussehen. Kompakter, Strukturierter, Übersichtlicher und letztlich auch gut Dokumentiert. Aber es ist nicht mein Job. Mich interessiert nur ob ich recht habe

Ich möchte gern die Produkthomogenität beibehalten und verwende ausschließlich LANCOM Komponenten. Ich müsste schauen welche Modelle es sind. Die Modelle spielen aber keine wichtige Rolle. Da diese zu Note gekauft werden wichtig ist nur zu klären ob mein vorhaben zu Realisieren ist und ob es dabei zu Problemen kommen kann wie z.B. zum doppelten NATing.

Gruß
Bitte warten ..
Mitglied: michi1983
01.06.2017 um 15:36 Uhr
Okay um es kurz zu machen:
Das ist ein 0815 Szenario und kann natürlich so umgesetzt werden.

Du verrätst nur noch immer nicht was genau und wovor die Firewall euch schützen soll und deshalb kann man hier nicht näher drauf eingehen.

Bleibt also meine Antwort oben.

Gruß
Bitte warten ..
Mitglied: Zeppelin
01.06.2017 um 15:50 Uhr
Moin Kraemer,

die Firewall stammt von Sophos UTM und soll das Netzwerk u.a. von bösen SPAM verschonen. Die Policies sieht vor das einige Anhänge geblockt werden usw. das soll alles so bleiben

Gruß
Bitte warten ..
Mitglied: Zeppelin
01.06.2017 um 15:53 Uhr
Ich versuche mal herauszufinden was die Firewall noch alles tun soll und melde mich.
Bitte warten ..
Mitglied: Kraemer
01.06.2017 um 16:29 Uhr
Also eine Firewall die nur für "dein" Netz zuständig ist? Dann ist das ja ein ganz normaler Aufbau und genattet wird da per se erst einmal gar nichts. Nur geroutet und geswitcht
Bitte warten ..
Mitglied: Zeppelin
01.06.2017 um 17:31 Uhr
Ja, genau so sehe ich das auch aber unser "Netzwerk Experte" sieht das anders

Ich werde mit dem Cisco Paket Tracer das ganze Simulieren und beweisen, dass es Möglich ist

Vielen Dank...
Sobald ich eine Info habe, was die Firewall tut poste ich es euch.

An dieser Stelle vielen Dank
Bitte warten ..
Mitglied: em-pie
01.06.2017, aktualisiert um 20:20 Uhr
Moin,

Habe gerade Sophos UTM gelesen:
Versuche erstmal "nur" herauszufinden/ zu erfragen, welches Modell.
Und wenn du oben schreibst "mehrere Hundert Mitarbeiter": Sind es 400 oder eher 900?

Ansonsten ist dein Vorhaben eigentlich optimal. Du/ ihr würde Idealerweise jedoch 10 VLANs benötigen:
VLAN 3-10: die ganzen Firmen
VLAN 1: das Managementnetzwerk. Hier kämen alle Geräte hinein, die es zu administrieren gilt. Switche, Firewalls, APs, etc.
VLAN 2: Transfernetz. Dieses dient ausschließlich dazu, die ganzen Pakete vom Core-)Switch zur Sophos zu befördern. Über ACLs auf dem Core-Switch würde dann der Zugriff zu den anderen VLANs reglementiert werden. Somit wird schon auf dem Switch entschieden, ob die Pakete ins "fremde" VLAN dürfen oder nicht. Die Sophos müsste sich damit also nicht rumschlagen. Ihre Aufgabe wäre es vermutlich dann "nur" Web--/ SMTP-Proxy, Spamfilter und VPN-Server zu spielen... Und natürlich im gewissen Rahmen das Routing zwischen WAN und den jeweiligen VLANs...

Hier mal exemplarisch dargestellt. Geht allerdings auch nur so, wenn der zentrale Switch ein Layer3-Switch ist, also auch Pakete routen kann.
unbenannt - Klicke auf das Bild, um es zu vergrößern
Wobei man überlegen kann, das Transfernetz ggf. via LAG (LACP) zu erstellen, sofern Switch und UTM kein 10GBit unterstützen. Wird die UTM nur mit 1xGBit angebunden, stünden allen 8 Parteien auch nur 1GBit/s in Summe zur Verfügung. Allerdings wäre das das bei der 1GBit-ISP-Anbindung vermutlich eh egal. Denn mehr wie 1Gbit kann seitens WAN ja ohnehin nicht bereit gestellt werden. QoS/ Traffic-Shaping würde aber sinnvoll sein: jedem Firmen-VLAN vom WAN ggf. nur 100Mbit (Down)/ 15MBit (Up) bereitstellen, dann wären alle gleichberechtigt.

Und wenn ich mal vorsichtig folgende Behauptung aufstellen darf:
Wenn sich jemand Netzwerk-Experte nennt und vorsätzlich 7 Firmen ohne eine Firewall ins WAN lässt, ist in meinen Augen kein Netzwerk-Experte. Darüberhinaus lassen sich die UTMs von Sophos WAN-seitig auch ohne NAT betreiben, weshalb ein doppeltes NAT hinfällig werden würde...

aber wie oben bereits von den anderen Kollegen geschrieben:
Welche Hardware existiert genau, welche würde kommen (insb. der "LWL-Router") und welche Switche sind im Einsatz/ sollen eingesetzt werden?
Etwas Leistung sollte seitens des Core-Switches schon vorhanden sein.
Und die UTM sollte keine aus der 1xx oder 2xx Serie sein...

Gruß
em-pie
Bitte warten ..
Mitglied: Zeppelin
02.06.2017, aktualisiert um 10:59 Uhr
Hallo em-pie,

wow vielen Dank für deine Antwort. Du hast dir echt mühe gegeben. Hut ab...

Auch allen anderen sei an dieser Stelle ein dank gesagt.

Bei der Firewall, handelt es sich um eine "Sophos SG 135" die Switche die wir im einsatz haben sind von LANCOM z.B. GS-1224, GS - 2326.

Einige Switche sind von ALLNET, Modell: ALL 4804 W

Der Router, welcher zwischen der Firewall steckt ist ein einfacher Zyxel-Router und keine Business-Lösung.

Ich werde den Anbieter Kontaktieren und erfragen, um welches Model es sich bei dem LWL-Router handelt.

Gruß
Zeppelin

PS: eher um die 300 Mitarbeiter
Bitte warten ..
Mitglied: em-pie
02.06.2017, aktualisiert um 20:46 Uhr
Hmm...

die SG135...
Die könnte in der Tat etwas dünn sein für 300MAs (300MAs= 300 PC-User oder 100 PC-User und 200 "Worker"?)
In sofern wird dein Kollege in diesem Fall nicht ganz unrecht haben.
Die SG230 ist lt. Datenblatt für ca. 200-250 User ausgelegt (wenn ich die Zahl richtig im Kopf habe), von daher wäre für euch die 330 vermutlich angebrachter, wenn nicht sogar die 430..
Schaue dir hier mal die TechSpecs an.

Ich nehme mal an, dass bei der UTM auch entsprechende Subscriptions existieren. Was sein könnte, dass man die Hardware "ohne weiteres" tauschen kann und die Subscriptions einfach auf die neue HW umschreibt.
Sicher bin ich mir da aber nicht. Hier kann dir u.A. Kollege @certifiedit.net was zu sagen.
Die Hardware gibbet aber auch nicht für umsonst, die SG230 liegt z.B. pro Stk. bei ~1.000€

Wenn eine Harmonisierung und "Aufräumaktion" wirklich angestrebt werden soll, muss definitiv Geld in die Hand genommen werden.
Will man etwas Geld im Hinblich auf die Firewall sparen, kann man sicherlich auch deutlich kostengünstigere Hardware einsetzen und dort dann mit pfSense, OpenSense,etc. arbeiten. bedeute taber auch gewisserweise Lern-/ Schulungsaufwand für deinen Kollegen. Wenn er die Sophos bereits kennt um im Griff hat, wäre das hier eine "einfache" Kosten-Nutzen Rechnung.

Da die Lancoms selbst nur auf Layer2 agieren, fallen die als Core-Switch schon mal raus.
Für das Routing ist mindestens Layer3 erforderlich, was auch der Allnet (so wie es aussieht) nicht ist.
Folglich müsste auch ein (performanter) L3-Switch neu angeschafft werden. Die vorhandenen Switche könn(t)en jedoch beibehalten werden, um z.B. auf verschiedenen Etagen den Endgeräten das Netzwerk bereit zustellen (Access-Switche). Denn einzelne Ports zu unterschiedlichen VLANs zuzuordnen können die (zumindest die LANCOMs).

Summasumarum sollten also irgendwo 3000€ - 6000€ für Hardware (je nach dem, ob weiter mit Sophos oder nicht) in die Hand genommen werden, um hier deine 300 (User?) über ein neu strukturiertes Netzwerk zu "bespaßen".

€dit:
Man kann auch auf das Transfernetz und neue Switche verzichten. Dann muss das Routing aber auf die Firewall/ UTM verlagert werden, welche wiederum deutlich mehr Performance benötigen wird. Die UTM bekommt dann selbst eine IP in jedem VLAN uns ist somit das DefaultGateway für die jeweiligen... ist auch ein gangbarer und nicht ungebräuchlicher Weg. Bedeutet halt nur mehr Aufwand, will man sich später mal von der Sophos, pfSense o.Ä. trennen, da alle ACLs/ Firewall-Einträge, die unmittelbare Auswirkungen auf die Inner-VLAN-Zugriffe haben, wieder mit angepasst/ übernommen werden müssten. Bei derzeit 8 VLANs aber auch kein "Hexenwerk".
Jedenfalls würden durch die Verlagerung der Layer3-Komponente vermutlich so rund 3.000€ - 5.000€ für einen brauchbaren CoreSwitch entfallen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Netzwerkinfrastruktur (DHCP)
Frage von Cyrus1980Windows Server18 Kommentare

Guten Abend, ich habe eine Frage die ich nicht beantworten kann: Frage) Sie betreuen als Netzwerkadministrator mehrere Windows-2016-Server. Sollen ...

Windows Server
Netzwerkinfrastruktur 5 (DHCP)
Frage von Cyrus1980Windows Server10 Kommentare

Hallo, Frage 11) Ihr Netzwerk ist gewachsen. Sie wollen nun den DHCP-Bereich um weitere 100 Adressen erweitern und die ...

Windows Server
Netzwerkinfrastruktur 4 (DHCP)
Frage von Cyrus1980Windows Server6 Kommentare

Hallo ich bin wieder da! Frage 2) Bringen Sie aus der folgenden Liste die erforderlichen Schritte bei einer erfolgreichen ...

Windows Server
Netzwerkinfrastruktur (DHCP) Neue
Frage von Cyrus1980Windows Server14 Kommentare

Guten Abend, Bitte beachten Sie, dass wir zur Zeit mit Windows Server 2016 arbeiten und nicht mit Linux! Frage ...

Neue Wissensbeiträge
Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 1 TagPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Batch & Shell
PowerShell Konferenz - Videos online
Information von NetzwerkDude vor 2 TagenBatch & Shell

Abend, die Tage werden Videos der Talks von der diesjährigen EU Powershell Konferenz hochgeladen, sind einige Interessante dabei: MFG ...

Windows Update

Windows 10 1903 Updates über Wsus erst nach Auswahl weiterer Produktkategorie

Information von Spirit-of-Eli vor 3 TagenWindows Update6 Kommentare

Moin, den Tipp habe ich hier noch nicht gesehen. Er adressiert all diejenigen, die Windows 10 1903 über einen ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
Unerklärlicher Gestank im EDV-Raum - "neues" Gebäude und keine offenkundige Ursache feststellbar!
Frage von VGem-eErkennung und -Abwehr29 Kommentare

Moin Kollegen, ich habe seit heute Morgen das Problem, dass in unserem EDV-Raum ein total unerklärbarer Gestank herrscht! Ich ...

Verschlüsselung & Zertifikate
Bitlocker oder Veracrypt unter Win10? Was ist hinsichtlich Performance, Sicherheit, Backup und Kompatibilität besser?
Frage von PluwimVerschlüsselung & Zertifikate23 Kommentare

Guten Morgen, bei mir wird demnächst eine neue Platte fällig, weil ich mein Win7-System auf Win10 umstellen will. D.h. ...

LAN, WAN, Wireless
Warum ist die Datenübertragung per WLAN zu bestimmten Servern sehr langsam?
gelöst Frage von PluwimLAN, WAN, Wireless20 Kommentare

Hallo Netzwerker, beim Einrichten des Notebooks für einen Bekannten fiel mir auf, dass Downloads per WLAN teilweise extrem lahm ...

Router & Routing
Microsoft Server: Kopierlast auf bestimmte NIC legen für Backup
gelöst Frage von LollipopRouter & Routing15 Kommentare

Guten Tag Mit zwei Servern machen wir eine einfache Datenspiegelung als Teil unseres Backup-Systems. Dazu wünsche ich mir einen ...