Neuplanung eines bestehenden Netzwerks mit Segmentierung in VLANs und weiterer Hardware

Mitglied: marc.mmc

marc.mmc (Level 1) - Jetzt verbinden

14.03.2016, aktualisiert 15.03.2016, 3664 Aufrufe, 6 Kommentare

Hallo,

ich beschäftige mich zur Zeit mit der Planung eines Umbaus unseres bestehenden rudimentären, sprich einfachen, Netzwerkes und möchte von euch gerne ein paar Tipps zur Umsetzbarkeit bekommen. Es handelt sich bisher um 8 Workstations, einen Windows Server 2008 R2 als DC und Fileserver, eine NAS und zwei Drucker.

Die neue Struktur habe ich bisher so entworfen:

netzwerkplan - Klicke auf das Bild, um es zu vergrößern


Edit: Der Gateway für das VLAN30 in der Grafik ist falsch, da es zu dem Zeitpunkt noch über den großen Switch angebunden war. Um zur Grafik zu passen müsste es also GW 10.10.50.20 heißen.

VLAN10 soll dabei Zugriff auf das gesamte Netzwerk exklusive Switches und Router haben.
VLAN20 soll einige Resourcen aus dem VLAN10 nutzen können (z.B. Drucker und Fileserver - der Zugriff hier wird über AD gesteuert, zu dem nicht jeder User gehört).
VLAN30 ist als "offenes" WLAN nur mit Zugriff auf das Internet (abgesichert über WPA2 mit entsprechendem Schlüssel) vorgesehen.
VLAN50 habe ich für das Management des LAN vorgesehen. Es soll daher auf das gesamte LAN und Internet Zugriff haben.
VLAN66 ist ein separiertes Netz für einen VPN Zugang (ob mit L2TP/IPSEC über den Windows 2008 Server oder das Routerboard weiss ich im Moment noch nicht, neige aber zur Server Variante da hier der Zugang auch abhängig von Userrechten aus dem AD sein soll).

Alle VLANs sollen Zugriff auf das Internet bekommen.

Aktuell ist hier der Zugang zum Internet noch über eine (sehr alte) Fritzbox gelöst, die aber demnächst durch die Umstellung des bisherigen ISDN Anschlusses auf IP durch einen Speedport der Telekom ersetzt werden wird. Alle Geräte sind im gleichen Netz (192.168.100.0/24), nicht alle Mitarbeiter haben einen Account in der Domäne und das soll sich b.a.w. auch nicht ändern.

Neu anzuschaffen ist der Router (RB2011UiAS-RM), zwei Switches (Cisco SG300-28 und SG300-10), die Synology RS815RP+ und die AP's (nach dem, was ich bisher hier gelesen habe, haben viele hier mit den Unifi AP (Pro) sehr gute Erfahrungen gemacht), auf denen sowohl das VLAN10 als auch das VLAN30 verfügbar sein sollen (2 SSID's).

Ich möchte über das Mikrotik RB sämtliche IP Adressen im LAN vergeben (über DHCP, dabei teilweise mit Static IP's). Der SG300-28 soll sich um das Routing der VLANs kümmern, wobei ich in einem weiteren Gebäude den SG300-10 aufstellen möchte. Hieran hängt ein AP sowie maximal zwei Workstations.

Ich wüsste nun gerne, ob es an der geplanten Hardware etwas auszusetzen gibt bzw. ob die Komponten sich untereinander 'vertragen'.

Da ich weiterhin gelesen habe, man sollte Switches immer sternförmig vom Router ausgehend konzipieren, würde ich den SG300-10 auch am RB2011 einstecken. Gibt es hier etwas besonderes zu beachten bzw. kann es zu Problemen führen, falls er nicht auch am SG300-28 hängt?

Habe ich eventuell in der Struktur einen grundlegenden Fehler gemacht oder kann man das Netzwerk so umsetzen? Gibt es bezüglich der Performance etwas zu beachten?

Sollte der RB2011 als Exposed Host in der Fritzbox konfiguriert werden oder besser über eine Bridge an der Fritzbox hängen (ehrlich gesagt habe ich keine Ahnung, ob die 3170 das überhaupt kann). Je nachdem müsste der RB2011 ja zur Fritzbox hin dann NAT machen (im ersten Fall) oder eben nicht, korrekt?

Und falls ich ihn als Exposed Host in die Fritzbox eintrage, muss ich dann wahrscheinlich auch eine statische Route wie 10.0.0.0 mit Subnetzmakse 255.0.0.0 an 192.168.100.254 eintragen, oder? Wie würde das aussehen, wenn ich nach der Umstellung der Telekom von ISDN auf IP den Speedport und den RB2011 ins gleiche Subnetz packe?

Vom Gefühl her neige ich dazu, den Internetzugang (PPPoE) dann auch weiterhin über die Fritzbox (dann Speedport) machen zu lassen. Wenn ich in der Fritzbox/Speedport als Zugangsart Bridge konfigurieren würde (und damit beide im gleichen Subnetz wie hier vorgeschlagen 10.10.1.0/24 sein müssten), müsste ich die Einwahl doch vom RB2011 erledigen lassen, oder?

Der RB2011 soll gleichzeitig auch Firewall sein. Gibt es hier nach einem Reset des RB mit Löschen der kompletten Konfiguration für den Anfang ein Ruleset mit dem man wenigstens den Zugriff aus dem Internet verhindern kann und gleichzeitig im LAN ohne Firewall die VLANs konfiguriert (nach dem Motto, erst soll das Routing stimmen, danach die ACL für die VLANs hinzufügen)? Ich möchte mich nicht ganz zu Anfang aus der RB2011 aussperren, den Router konfiguriere ich ja noch im alten Netz ohne dass hier schon Traffic drüber läuft.

Die Umstellung auf das neue Netz soll dann nach der Vorbereitung an einem (langen) Wochenende stattfinden, da mir die Umsetzung von heute auf morgen zu heikel ist.

Ich würde mich über eure Meinung zu meinem Entwurf freuen und bin für Verbesserungshinweise dankbar. Ich hoffe, es ist nicht zuviel durcheinander ;-) face-wink

Gruß




Mitglied: marc.mmc
15.03.2016, aktualisiert um 05:35 Uhr
...um das Ganze noch um das Routing zu ergänzen:

Zwei Annahmen vorweg:
1. Ich gehe von der aktuellen Situation mit der AVM 3170 aus (192.168.100.100)
2. Ich beschränke mich auf 10.0.0.0 mit Subnetzmaske 255.128.0.0, also IP's von 10.0.0.1 bis 10.127.255.254 ... immer noch mehr als ausreichend

Da ich zum ersten Mal mit L3 Switches zu tun habe, entschuldigt bitte vorab falls ich hier dumme Fragen stelle.

Edit: Ich glaube, ich habe beim SG300-28 eine Route vergessen (in rot nachgetragen)

Die Switches sind ja für ihr jeweiliges VLAN der Gateway, richtig? Müssen diese dann ihre Netze selbst routen? Ich schreibe einfach mal mit den Routing Tabellen was ich meine. Evtl. (ziemlich sicher sogar) habe ich etwas übersehen ... bisher ist das ja alles noch eine 'Trockenübung' (und in der "Komplexität" sicher Neuland für mich):
Hmm, rot im Code schreiben scheint nicht zu gehen, dann eben hier (dafür leider nicht schön formatiert):
10.10.20.148..........................255.255.255.252.....................10.10.50.20


Beim Cisco SG300-10 habe ich es mir mit den IP's ein wenig leichter gemacht und daher stimmt hier mein Entwurf nicht mehr 1:1, es sind jetzt die beiden IP's 10.10.20.149 und 10.10.20.150 anstatt vorher 10.10.20.150 und 10.10.20.151 wie in der Grafik:


Damit ich aus dem LAN noch auf die Fritzbox komme, müsste ich hier mMn nur eine statische Route eintragen:


Und zum Schluss für den Router. Die Besonderheit hier ist die Route für die beiden WS, die über den SG300-10 im Netz sind:


Macht das wenigstens einigermassen Sinn, oder bin ich schon jetzt komplett auf dem Holzweg? Bevor das nämlich nicht passt, brauche ich mir über ACL und VLANs noch keine Gedanken machen.

Vielen Dank im Voraus und Gruß
Bitte warten ..
Mitglied: MartinStrasser
15.03.2016 um 06:40 Uhr
Guten Morgen,

also wenn der Mikrotik das ganze Routing bzw. auch die ACLs machen soll, dann brauchst Du am Switch keine Routen, da dieser nur als Layer2-Device arbeitet.
Das Routing macht dann ausschließlich der Mikrotik und hier brauchst Du keine Routen definieren, da die Netze direkt als VLAN-Interface anliegen.

VPN würde ich direkt am Mikrotik machen, da er auch unterschiedliche Protokolle unterstützt. Damit die Authentifizierung aus dem Active Directory funktioniert, benötigst Du einen Radius-Server (Network Policy Server ab Server 2008).

Ich würde den Mikrotik für die Einwahl ins Internet konfigurieren, da Du dann hier die (hoffentlich statische) öffentliche IP-Adresse anliegen hast um ggf. weitere Services der Welt zur Verrfügung stellen kannst.

An der Hardware ist nichts auszusetzen, habe ich in dieser Konstelation auch bei Kunden im Einsatz. Ich würde jedoch schauen, ob schon der neue Mikrotol RB3011 verfügbar ist.

Grüße
Bitte warten ..
Mitglied: marc.mmc
15.03.2016, aktualisiert um 16:30 Uhr
Hallo...und Danke für den Tipp mit dem RB3011. Das Neue ist des Guten Feind - auch wenn es nicht immer besser wird. Damit meine ich, vom RB2011 habe ich noch nicht viel Schlechtes gelesen (von openvpn nur über tcp mal abgesehen). Wer weiss, ob ein neues Gerät gerade am Anfang das hält, was der Vorgänger verspricht, aber ich schaue es mir an.

Was das Routing angeht: Wenn ich das alles den Router machen lasse, dann kann ich mir einen L3 Switch doch sparen, oder nicht? Ich dachte bisher, es wäre vorteilhaft die Last im Netz so gut wie möglich zu verteilen und wenn der Switch die Arbeit macht, hat der Router Luft für andere Sachen.

Die Zusammenarbeit zwischen Router und Windows Server (hier 2008 R2) bzgl. Radius muss ich mir noch anlesen. Wenn ich den Server sowieso einbinden muss, warum dann den Router überhaupt damit behelligen? Weil er quasi "am Eingang" steht?

Es könnte sein dass wir im Zuge der Umstellung eine statische IP bekommen, ich muss mich da aber noch schlau machen (war bei dem Termin mit dem Telekom Vertrieb nicht im Haus).

Edit: Umstellung auf DeutschlandLAN IP Voice/Data L, also mit fester IP und einer "Digitaliserungsbox Standard". Mal sehen, was die kann... :-| face-plain

Viele Grüße
Bitte warten ..
Mitglied: MartinStrasser
15.03.2016 um 20:42 Uhr
Hallo,

also bzgl. dem VPN: Ich betreibe das VPN-Gateway eigentlich nie auf einem Windows Server (außer TMG, aber den gibt es ja nicht mehr).

Den Layer-3 Switch hättest Du Dir sparen können. Natürlich könntest Du dort auch einfache ACLs bauen, würde ich aber nicht machen, da Du ja schon den Mikrotik hast.

Auf jeden Fall gehört zwischen Mikrotik und Switch ein Trunk aus zwei Interfaces, damit auch der Traffic zwischen zwei unterschiedlichen VLANs mit GBit übertragen werden kann, da ja ansonsten die maximal mögliche Bandbreite sinkt.

Aber glaube mir, der Mikrotik (selbst der RB2011) hat genug Power um ein paar VLANs mit ein paar Netzen und Firewallregeln ziemlich performant zu routen.

Grüße
Bitte warten ..
Mitglied: marc.mmc
16.03.2016 um 00:35 Uhr
Hallo,

vielen Dank für Deine Tipps.

Da Du nichts zur Infrastruktur gesagt hast gehe ich davon aus, dass ich da auf dem richtigen Weg bin (sowohl verkabelt als auch logisch)?

Zum Beispiel die Anbindung des zweiten Switches (SG300-10) ebenfalls an den Router und nicht an den SG300-28 ... auch hier laufen ja dann zwei VLANs drüber aber der Traffic dürfte sich da eher in Grenzen halten, allenfalls über den AP könnte ein bisschen was los sein.

Ich habe die Fehler aus der ersten Version korrigiert und zur Veranschaulichung nochmal eingefügt:

netzwerkplan1 - Klicke auf das Bild, um es zu vergrößern


Das mit der obigen Routingtabelle am SG300-28 vergessen wir dann mal. Was direkt angebunden ist (und das sind ja alle VLANs, entweder auf dem Switch oder im Router) braucht man nicht routen. Bleiben also die Default Routes und der Sonderfall für das Subnet 10.10.20.148/30. Falls die VLANs auf dem Router eingerichtet werden, müsste ich das Routing auf dem SG300-28 sicherlich anpassen.

Zum Glück gibt es hier eine Fülle von Tutorials und jede Menge Lesestoff um auch als Nicht-Profi einen guten Einstieg zu finden. Richtig interessant wird es ja dann mit der VLAN Konfiguration incl. ACL und der Firewall im Router.

Die Digitalisierungsbox Standard (was für ein Name, gibt es dafür schon einen Spitznamen...?) scheint ja nicht so schlecht zu sein, jedenfalls ist sie einem, wie es aussieht, auch nicht im Weg.

Gruß
Bitte warten ..
Mitglied: MartinStrasser
17.03.2016 um 07:32 Uhr
Guten Morgen,

noch kurz zur Infrastruktur:
Die passt soweit. Die Switches jeweils an den Router, da es ja sein kann, dass Du einmal ein zusätzliches VLAN benötigst, welches Du dann nicht über den ersten Switch übertragen musst.

Routing brauchst Du in Deiner Konstellation gar keines. Auf dem Mikrotik konfigurierst Du ein NAT und lässt diesen die Einwahl machen.

Grüße
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Sicherheits-Update KB5001779 für Exchange 2013-2019
kgbornVor 1 TagInformationExchange Server9 Kommentare

Microsoft hat zum 13. April 2021 das Sicherheitsupdate KB5001779 für Exchange 2013-2019 veröffentlicht, um vier RCE-Schwachstellen zu schließen. Das Update sollte zeitnah installiert werden. ...

Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 21 StundenFrageFestplatten, SSD, Raid12 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Server
Server Anbieter mit 2 NICs gesucht
gelöst SilvergreenVor 1 TagFrageServer16 Kommentare

Hallo Community, ich bin auf der Suche nach einem Serveranbieter, der VPS/Cloud Server mit 2 Netzwerkkarten anbietet. Eine Internetsuche brache mich da leider nicht ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 22 StundenFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...