Neuplanung Netzwerk mit VLAN, VOIP, Gästenetz
Liebe Forumsteilnehmer,
mir ist die ehrenvolle Aufgabe zugefallen ein sehr heterogenes Netz auf Vordermann zu bringen. Anhand meiner Beschreibung erkennt ihr sicher, dass ich nicht der große Guru bin, aber ich bemühe mich...
IST-Stand:
Alle Rechner befinden sich in einem C-Klasse-Netz
Der Router hat die IP 192.168.1.1.
Server und Rechner der Verwaltung befinden sich im Bereich 192.168.100.1 bis 192.168.100.99 (fixe IP-Adressen) (5 Server und ca. 20 Rechner)
Rechner für Gästezugang und WLAN befinden sich im Bereich 192.168.99.2. bis 192.168.99.100 (Gästenetz hat eigenen DHPC-Server mit der Adresse 192.168.99.1) (ca. 25 Rechner und Geräte).
Sekundärverkabelung ist mit GLAS und Dell Powerconnect 2724 realisiert, dahinter bunt gemischte Switches und Access Points.
Aufgabe 1: die Telefonie soll auf VOIP umgestellt werden.
Aufgabe 2: die Serverlandschaft soll virtualisiert werden, es soll Active Directory, ein Fileserver und ein WSUS-Server eingerichtet werden.
Meine Überlegungen dazu:
1. wir müssen die Switches tauschen - die Dell Powerconnect 2724 können kein QoS für VOIP - hat hier jemand eine gute Empfehlung für managebare 24 Port (und weniger) Switches, die keine Macken mit VOIP machen (VLAN und LWL-Anschluss müssen natürlich auch möglich sein). Einige (oder alle) Ports sollten für die Telefonie PoE können.
UND wir brauchen meines Wissens nach ja einen Layer 3 Switch für das VLAN routing?
2. VLANS:
Ich würde ein VLAN für die Server, eines für die Verwaltungsrechner, eines für die IP-Telefonie und eines oder zwei für den Gästebereich einrichten (hier kommen noch WLAN-Accesspoints dazu) und bei den C-Klasse Netzen bleiben, das sollte ja auf jeden Fall ausreichen?
Würdet ihr für eine Videoüberwachung ein eigenes VLAN einrichten oder ist das ein Overkill? Für das Backup der virtuellen Maschinen würde ich eine NAS nehmen - sollte hier ein eigenes Backup-VLAN angelegt werden oder reicht das im Server-VLAN?
3. Virtualisierung: wir werden die Server mit Hyper-V virtualisieren, der Domaincontroller sollte dann auch der DHCP-Server für den Gästebereich sein - oder würdet ihr das auf den Switch verlagern? Verwaltungsrechner und Server bekommen eine fixe IP.
Einige Rechner/Geräte aus den unterschiedlichsten VLANS müssen auf gemeinsame Server(ressourcen) zuggreifen könnnen.
Der Firewall würde nicht virtualisiert werden (entweder ENDIAN oder IPFIRE) und hinter dem Layer 3 Switch und vor dem Router sitzen.
Hab ich da was Grundlegendes übersehen? Ich freue mich jedenfalls auf eure Hardwareratschläge für die Switches...
Danke für euren Input, liebe Grüße,
Gerald
mir ist die ehrenvolle Aufgabe zugefallen ein sehr heterogenes Netz auf Vordermann zu bringen. Anhand meiner Beschreibung erkennt ihr sicher, dass ich nicht der große Guru bin, aber ich bemühe mich...
IST-Stand:
Alle Rechner befinden sich in einem C-Klasse-Netz
Der Router hat die IP 192.168.1.1.
Server und Rechner der Verwaltung befinden sich im Bereich 192.168.100.1 bis 192.168.100.99 (fixe IP-Adressen) (5 Server und ca. 20 Rechner)
Rechner für Gästezugang und WLAN befinden sich im Bereich 192.168.99.2. bis 192.168.99.100 (Gästenetz hat eigenen DHPC-Server mit der Adresse 192.168.99.1) (ca. 25 Rechner und Geräte).
Sekundärverkabelung ist mit GLAS und Dell Powerconnect 2724 realisiert, dahinter bunt gemischte Switches und Access Points.
Aufgabe 1: die Telefonie soll auf VOIP umgestellt werden.
Aufgabe 2: die Serverlandschaft soll virtualisiert werden, es soll Active Directory, ein Fileserver und ein WSUS-Server eingerichtet werden.
Meine Überlegungen dazu:
1. wir müssen die Switches tauschen - die Dell Powerconnect 2724 können kein QoS für VOIP - hat hier jemand eine gute Empfehlung für managebare 24 Port (und weniger) Switches, die keine Macken mit VOIP machen (VLAN und LWL-Anschluss müssen natürlich auch möglich sein). Einige (oder alle) Ports sollten für die Telefonie PoE können.
UND wir brauchen meines Wissens nach ja einen Layer 3 Switch für das VLAN routing?
2. VLANS:
Ich würde ein VLAN für die Server, eines für die Verwaltungsrechner, eines für die IP-Telefonie und eines oder zwei für den Gästebereich einrichten (hier kommen noch WLAN-Accesspoints dazu) und bei den C-Klasse Netzen bleiben, das sollte ja auf jeden Fall ausreichen?
Würdet ihr für eine Videoüberwachung ein eigenes VLAN einrichten oder ist das ein Overkill? Für das Backup der virtuellen Maschinen würde ich eine NAS nehmen - sollte hier ein eigenes Backup-VLAN angelegt werden oder reicht das im Server-VLAN?
3. Virtualisierung: wir werden die Server mit Hyper-V virtualisieren, der Domaincontroller sollte dann auch der DHCP-Server für den Gästebereich sein - oder würdet ihr das auf den Switch verlagern? Verwaltungsrechner und Server bekommen eine fixe IP.
Einige Rechner/Geräte aus den unterschiedlichsten VLANS müssen auf gemeinsame Server(ressourcen) zuggreifen könnnen.
Der Firewall würde nicht virtualisiert werden (entweder ENDIAN oder IPFIRE) und hinter dem Layer 3 Switch und vor dem Router sitzen.
Hab ich da was Grundlegendes übersehen? Ich freue mich jedenfalls auf eure Hardwareratschläge für die Switches...
Danke für euren Input, liebe Grüße,
Gerald
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322964
Url: https://administrator.de/contentid/322964
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
Solange du keinen exzessiven Traffic in deinem Netz hast sollte eine qos Konfiguration in dieser Größenordnung nicht zwingend notwendig sein. Der reine Sprach Traffic ist so gering dass das auch ohne spezielle Einstellungen laufen sollte.
Hatte ich in einer Firma mit 120 Leuten (darunter ca 40 vieltelefonierer und 30 entwickler) problemlos laufen. Bin hier aber nicht mehr ganz aktuell - gibt da sicher auch andere Meinungen.
Falls doch, landest du ganz schnell bei Cisco wenn es was taugen soll.
Für eine Videoüberwachung würde ich ein getrenntes System aufbauen. Hier geht es in der Regel um Sicherheit. Das heißt mindestens separates VLAN.
Damit wird eine Manipulation des Systems zumindest erschwert. Ein weiterer Punkt ist, das Kameras oft an von außen zugänglichen Punkten hängen. Hier hilft die separierung das interne Netzwerk zu schützen.
Video hat -anders als Audio- meist sehr hohe Bitraten ( eine einzige 5 Megapixel Kamera streamt permanent mit bis zu 12 Mbit/s - je nach Struktur sogar mehrfach.) Das sollte mit bedacht werden.
Solange du keinen exzessiven Traffic in deinem Netz hast sollte eine qos Konfiguration in dieser Größenordnung nicht zwingend notwendig sein. Der reine Sprach Traffic ist so gering dass das auch ohne spezielle Einstellungen laufen sollte.
Hatte ich in einer Firma mit 120 Leuten (darunter ca 40 vieltelefonierer und 30 entwickler) problemlos laufen. Bin hier aber nicht mehr ganz aktuell - gibt da sicher auch andere Meinungen.
Falls doch, landest du ganz schnell bei Cisco wenn es was taugen soll.
Für eine Videoüberwachung würde ich ein getrenntes System aufbauen. Hier geht es in der Regel um Sicherheit. Das heißt mindestens separates VLAN.
Damit wird eine Manipulation des Systems zumindest erschwert. Ein weiterer Punkt ist, das Kameras oft an von außen zugänglichen Punkten hängen. Hier hilft die separierung das interne Netzwerk zu schützen.
Video hat -anders als Audio- meist sehr hohe Bitraten ( eine einzige 5 Megapixel Kamera streamt permanent mit bis zu 12 Mbit/s - je nach Struktur sogar mehrfach.) Das sollte mit bedacht werden.
Hallo Gerald,
VLAN10 - 192.168.3.0/24 - PCs
VLAN20 - 192.168.4.0/24 - Server
VLAN30 - 192.168.5.0/24 - Drucker
VLAN40 - 192.168.6.0/24 - Firmen WLAN (Internet & LAN & DMZ)
VLAN50 - 192.168.7.0/24 - Gäste WLAN (nur Internet)
VLAN60 - 192.168.8.0/24 - Gäste LANLAN (Internet & ???)
VLAN70 - 192.168.9.0/24 - VOIP
Die sollten aber dann auch alle Multi-SSID und/oder VLAN fähig sein!
Oder muss auch die Geschwindigkeit gesteigert werden, oder besser der Durchsatz
im gesamten Netzwerk erhöht werden.
Ein S/FTP, WWW, Mail, Fax oder gar VOIP Server?
Meine Überlegungen dazu:
werden und dafür sollte ein 48 Port PoE Layer2+ Switch reichen.
Sollen Echtzeitanwendungen über den Controller laufen? Wird Fast "Fast Roaming"
auf Layer2 und Layer3 Basis benötigt? Sag da einmal bitte etwas zu!
LAN via LDAP
WLAN Firma via Radius Server mittels Zertifikat
WLAN Gäste via Captive Portal
wenn von außerhalb mittels VPN auch einmal jemand nachschauen möchte dann ab damit
in die DMZ und die alten Dell Powerconnect 2724 können eventuell dort noch Ihren Dienst
verrichten!!!
kann mittels einer Zusatzeinheit und bereits eingebauten Anschlüssen dafür sonst wirst Du
in xyz Jahren gleich wieder mit dem selben Problem kämpfen müssen!!! Wenn das Geld
vorhanden ist nimm ein NAS mit Intel Xeon E3 CPU und 4 GB - 8 GB RAM, denn hier dient
meist der RAM als "Puffer" was sonst die RAID Controller mittels Cachemodul machen.
Ich würde auch gleich ein NAS aussuchen was einen OpenLDAP, Radius Server und 10 GbE
Schnittstellen mitbringt dann geht das Backup auch flotter über die Bühne.
sollten eine fixe IP bekommen und dann nur das WLAN für die Gäste mit einem
DHCP Server ausstatten, das ist einfacher für die Dokumentation und ist somit
auch übersichtlicher. DHCP macht dann der Layer3 Switch oder gar der bzw.
die Core Switche.
oder gleich eine pfSense oder OPNSense Firewall? Ist VPN ein Thema und wenn ja welches
und für wie viele Leute bzw. Tunnel.
Müssen bzw. sollten die Core Switche redundant ausgelegt werden?
Budgetempfehlung:
- D-Link DGS1510 mit SFP und SFP+ Ports (Layer3) und auch als PoE erhältlich
Einfache (aber gute) Lösung für ein KMU Unternehmen:
- Cisco SG200 (Layer2) und/oder SG300 (Layer3) Serie mit PoE Auswahl
- Cisco SG500 (Layer3) Serie stapelbar (Switch Stack) und mit 10 GBit/s Ports
Alternativen:
Extra für das WLAN:
- Netgear M4200 Serie mit 2,5GBit/s / 5 GBit/s und 10 GBit/s Ports WLAN Controller und ac APs
Im Controller sind ein Radius Servre und ein Captive Portal enthalten.
Alles Layer3 redundant und/oder Ausfallsicher:
- Netgear M4300 Serie als Core und Access Switche (PoE+ und Layer3)
Mit Routingprotokollen und ohne zusätzliche Lizenzen
Chassis Switch aber gut sortiert und erweiterbar:
- Netgear M6100 1 x PoE+, 1 x 10 GbE (RJ45 & SFP+ gemixt) und einmal 1 GBit/s normale RJ45
Wird knapp aber wenn das Netzwerk nicht mehr wächst ist dann damit auch alles abgedeckt
und man spart die Stackingmodule.
- Netgear M7100 für Server und NAS
- Netgear M7300 für Server und NAS oder als Core mit Layer3 Lizenz dazu
- Netgear XS708E oder XS7016E zur Anbindung der Server und des NAS
Gruß
Dobby
Alle Rechner befinden sich in einem C-Klasse-Netz
Der Router hat die IP 192.168.1.1.
OK, aber ist auch neben dem LAN eine DMZ vorhanden?Der Router hat die IP 192.168.1.1.
Server und Rechner der Verwaltung befinden sich im Bereich 192.168.100.1 bis
192.168.100.99 (fixe IP-Adressen) (5 Server und ca. 20 Rechner)
VLAN1 - 192.168.2.0/24 (255.255.255.0) - Default VLAN für den Admin (alle Geräte sind Mitglied)192.168.100.99 (fixe IP-Adressen) (5 Server und ca. 20 Rechner)
VLAN10 - 192.168.3.0/24 - PCs
VLAN20 - 192.168.4.0/24 - Server
VLAN30 - 192.168.5.0/24 - Drucker
VLAN40 - 192.168.6.0/24 - Firmen WLAN (Internet & LAN & DMZ)
VLAN50 - 192.168.7.0/24 - Gäste WLAN (nur Internet)
VLAN60 - 192.168.8.0/24 - Gäste LANLAN (Internet & ???)
VLAN70 - 192.168.9.0/24 - VOIP
Rechner für Gästezugang und WLAN befinden sich im Bereich 192.168.99.2. bis
192.168.99.100 (Gästenetz hat eigenen DHPC-Server mit der Adresse 192.168.99.1)
(ca. 25 Rechner und Geräte).
Ok aber WLAN sollte sein eigenes VLAN bzw. Netz haben.192.168.99.100 (Gästenetz hat eigenen DHPC-Server mit der Adresse 192.168.99.1)
(ca. 25 Rechner und Geräte).
Sekundärverkabelung ist mit GLAS und Dell Powerconnect 2724 realisiert,
dahinter bunt gemischte Switches und Access Points.
Die APs sind bitte wie viele genau? Ist ein Controller vorhanden und/oder von Nöten?dahinter bunt gemischte Switches und Access Points.
Die sollten aber dann auch alle Multi-SSID und/oder VLAN fähig sein!
Aufgabe 1: die Telefonie soll auf VOIP umgestellt werden.
Gut dann eben VOIP Telefone aussuchen und an die Switche PoE anbinden fertig.Oder muss auch die Geschwindigkeit gesteigert werden, oder besser der Durchsatz
im gesamten Netzwerk erhöht werden.
Aufgabe 2: die Serverlandschaft soll virtualisiert werden, es soll Active Directory,
ein Fileserver und ein WSUS-Server eingerichtet werden.
Ok ist da noch irgend etwas was man in eine bzw. die DMZ setzen sollte?ein Fileserver und ein WSUS-Server eingerichtet werden.
Ein S/FTP, WWW, Mail, Fax oder gar VOIP Server?
Meine Überlegungen dazu:
1. wir müssen die Switches tauschen - die Dell Powerconnect 2724 können kein QoS für
VOIP - hat hier jemand eine gute Empfehlung für managebare 24 Port (und weniger)
Switches, die keine Macken mit VOIP machen (VLAN und LWL-Anschluss müssen
natürlich auch möglich sein). Einige (oder alle) Ports sollten für die Telefonie PoE können.
20 PC Arbeitsplätze plus 25 PC Arbeitsplätze sind bei mir 45 Stellen die mittels VOIP versorgtVOIP - hat hier jemand eine gute Empfehlung für managebare 24 Port (und weniger)
Switches, die keine Macken mit VOIP machen (VLAN und LWL-Anschluss müssen
natürlich auch möglich sein). Einige (oder alle) Ports sollten für die Telefonie PoE können.
werden und dafür sollte ein 48 Port PoE Layer2+ Switch reichen.
UND wir brauchen meines Wissens nach ja einen Layer 3 Switch für das VLAN routing?
Oder aber die Firewall macht das gleich mit wenn sie denn stark genug ist.2. VLANS:
Ich würde ein VLAN für die Server, eines für die Verwaltungsrechner, eines für die IP-Telefonie
und eines oder zwei für den Gästebereich einrichten (hier kommen noch WLAN-Accesspoints
dazu) und bei den C-Klasse Netzen bleiben, das sollte ja auf jeden Fall ausreichen?
Sind die APs denn multi-SSID und VLAN fähig? Benötigt Ihr einen WLAN Controller?Ich würde ein VLAN für die Server, eines für die Verwaltungsrechner, eines für die IP-Telefonie
und eines oder zwei für den Gästebereich einrichten (hier kommen noch WLAN-Accesspoints
dazu) und bei den C-Klasse Netzen bleiben, das sollte ja auf jeden Fall ausreichen?
Sollen Echtzeitanwendungen über den Controller laufen? Wird Fast "Fast Roaming"
auf Layer2 und Layer3 Basis benötigt? Sag da einmal bitte etwas zu!
LAN via LDAP
WLAN Firma via Radius Server mittels Zertifikat
WLAN Gäste via Captive Portal
Würdet ihr für eine Videoüberwachung ein eigenes VLAN einrichten oder ist das ein Overkill?
Auf jeden Fall in ein eigenes VLAN und auch gleich das Gerät auf das aufgenommen wird undwenn von außerhalb mittels VPN auch einmal jemand nachschauen möchte dann ab damit
in die DMZ und die alten Dell Powerconnect 2724 können eventuell dort noch Ihren Dienst
verrichten!!!
Für das Backup der virtuellen Maschinen würde ich eine NAS nehmen - sollte hier ein
eigenes Backup-VLAN angelegt werden oder reicht das im Server-VLAN?
Im Server VLAN und dann auch gleich eines was schnell und/oder einfach erweitert werdeneigenes Backup-VLAN angelegt werden oder reicht das im Server-VLAN?
kann mittels einer Zusatzeinheit und bereits eingebauten Anschlüssen dafür sonst wirst Du
in xyz Jahren gleich wieder mit dem selben Problem kämpfen müssen!!! Wenn das Geld
vorhanden ist nimm ein NAS mit Intel Xeon E3 CPU und 4 GB - 8 GB RAM, denn hier dient
meist der RAM als "Puffer" was sonst die RAID Controller mittels Cachemodul machen.
Ich würde auch gleich ein NAS aussuchen was einen OpenLDAP, Radius Server und 10 GbE
Schnittstellen mitbringt dann geht das Backup auch flotter über die Bühne.
3. Virtualisierung: wir werden die Server mit Hyper-V virtualisieren, der Domaincontroller
sollte dann auch der DHCP-Server für den Gästebereich sein - oder würdet ihr das auf
den Switch verlagern? Verwaltungsrechner und Server bekommen eine fixe IP.
Server, Drucker WLAN APs, NAS und SAN und alle 45 PCs nebst VOIP Telefonensollte dann auch der DHCP-Server für den Gästebereich sein - oder würdet ihr das auf
den Switch verlagern? Verwaltungsrechner und Server bekommen eine fixe IP.
sollten eine fixe IP bekommen und dann nur das WLAN für die Gäste mit einem
DHCP Server ausstatten, das ist einfacher für die Dokumentation und ist somit
auch übersichtlicher. DHCP macht dann der Layer3 Switch oder gar der bzw.
die Core Switche.
Einige Rechner/Geräte aus den unterschiedlichsten VLANS müssen auf gemeinsame
Server(ressourcen) zuggreifen könnnen.
Sollte kein Thema sein, was ist denn genau das Budget von Euch dafür?Server(ressourcen) zuggreifen könnnen.
Der Firewall würde nicht virtualisiert werden (entweder ENDIAN oder IPFIRE)
und hinter dem Layer 3 Switch und vor dem Router sitzen.
Was muss oder soll die Firewall denn können? Warum nicht Untangle oder SophoS UTMund hinter dem Layer 3 Switch und vor dem Router sitzen.
oder gleich eine pfSense oder OPNSense Firewall? Ist VPN ein Thema und wenn ja welches
und für wie viele Leute bzw. Tunnel.
Hab ich da was Grundlegendes übersehen? Ich freue mich jedenfalls auf eure
Hardwareratschläge für die Switches...
Welche Layer sind denn vorhanden? (Core, Distributed, Access)Hardwareratschläge für die Switches...
Müssen bzw. sollten die Core Switche redundant ausgelegt werden?
Budgetempfehlung:
- D-Link DGS1510 mit SFP und SFP+ Ports (Layer3) und auch als PoE erhältlich
Einfache (aber gute) Lösung für ein KMU Unternehmen:
- Cisco SG200 (Layer2) und/oder SG300 (Layer3) Serie mit PoE Auswahl
- Cisco SG500 (Layer3) Serie stapelbar (Switch Stack) und mit 10 GBit/s Ports
Alternativen:
Extra für das WLAN:
- Netgear M4200 Serie mit 2,5GBit/s / 5 GBit/s und 10 GBit/s Ports WLAN Controller und ac APs
Im Controller sind ein Radius Servre und ein Captive Portal enthalten.
Alles Layer3 redundant und/oder Ausfallsicher:
- Netgear M4300 Serie als Core und Access Switche (PoE+ und Layer3)
Mit Routingprotokollen und ohne zusätzliche Lizenzen
Chassis Switch aber gut sortiert und erweiterbar:
- Netgear M6100 1 x PoE+, 1 x 10 GbE (RJ45 & SFP+ gemixt) und einmal 1 GBit/s normale RJ45
Wird knapp aber wenn das Netzwerk nicht mehr wächst ist dann damit auch alles abgedeckt
und man spart die Stackingmodule.
- Netgear M7100 für Server und NAS
- Netgear M7300 für Server und NAS oder als Core mit Layer3 Lizenz dazu
- Netgear XS708E oder XS7016E zur Anbindung der Server und des NAS
Gruß
Dobby
Grundlagen zu dem Thema findest du auch in diesen Tutorials:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Mit den oben vom Kollegen Dobby zitierten Cisco SG200 oder 300er Switches machst du nix falsch. Wenns noch billiger sein soll dann D-Link aber bedenke das sich sparen bis auf den letzten Cent an der Infrastruktur sich irgendwann böse rächen wird.
Wenn du einen Ausfall akzeptieren kannst ist natürlich auch billigste China Hardware akzeptabel.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Mit den oben vom Kollegen Dobby zitierten Cisco SG200 oder 300er Switches machst du nix falsch. Wenns noch billiger sein soll dann D-Link aber bedenke das sich sparen bis auf den letzten Cent an der Infrastruktur sich irgendwann böse rächen wird.
Wenn du einen Ausfall akzeptieren kannst ist natürlich auch billigste China Hardware akzeptabel.