gelöst VLAN Umstellung im Betrieb

Mitglied: Kuebrich

Kuebrich (Level 1) - Jetzt verbinden

05.09.2019 um 15:27 Uhr, 1248 Aufrufe, 7 Kommentare, 4 Danke

Hallo liebes Forum!

Ich bin derzeitg als einziger IT-Administrator in einem klein/mittelgroßen Unternehmen mit ca. 100 Clients beschäftigt.
Leider wurden hier bisher einfach alle Netzwerkgeräte (vom Client bis zum Router ... also wirklich alles :D ) in ein /16 Subnetz gepackt.
Nun treten allerdings Probleme mit externen VPN Verbindungen in denen sich Netzwerke überschneiden auf, allgemein entsteht auch eine hohe Netzwerklast, usw.

Mein Ziel ist es nun das Netz in ein /24 Subnetz zu segmentieren, dazu VLANs und ACLs einzuführen.
Die nötige Hardware ist vorhanden:
3x HPE Layer3 Switch
1x Cisco Layer3 Switch
1x Lancom 1781VA Router
4x Lancom AP

Die VLAN Segementierung hätte ich soweit so geplant:

VLAN10 INTERN:
Alle internen PCs, internes WLAN, Netzwerkdosen, usw.
Netzadresse: 172.16.10.0/24

VLAN20 IBN:
Alle IBN-Netzwerkdosen
Netzadresse: 172.16.20.0/24

VLAN30 SERV:
Netz für die Server-Landschaft.
Netzadresse: 172.16.30.0/24

VLAN40 GAST:
WLAN Gastnetz für Access Points
Netzadresse: 172.16.40.0/24

VLAN50 PRIV:
Privates Netz
Netzadresse: 172.16.50.0/24

VLAN99 REMOTE:
Zugriffsnetz für alle Netzwerkgeräte.
Netzadresse: 172.16.99.0/24

Die ACLs würden sich nur darum kümmern den Traffic aus den WLAN Gastnetz in die internen zu sperren.

Ich denke soweit sollte meine Planung korrekt sein, falls jemand etwas findet was Probleme machen könnte lass ich mich gerne berichtigen.
Mir geht es bei diesen Beitrag eher darum wie ich die Planung am Besten umsetze.

Mein nächster Schritt wäre es jetzt die neue VLAN Struktur aufzubauen, parallel dazu allerdings das "Altnetz" bestehen zu lassen um keine Ausfälle zu riskieren.
Das komplette Umziehen auf die neue Struktur kann und wird an einem Tag geschehen an dem keiner arbeitet, soweit ich das verstehe kommt es sonst zu Problemen da sonst kein Routing in das "Altnetz" stattfinden kann.

Meine Frage wäre nun also, würde dieses Vorgehen so funktionieren oder hole ich mir dabei nur noch mehr Probleme ins Boot?
Vielleicht kennt hier jemand auch eine bessere Planung für meinen Anwendungsfall, ich bin wirklich für jede Hilfe hierzu dankbar!



PS: Ja ich weiß ... sich Administrator nennen und dann nicht mal VLANs beherrschen. Habe bisher leider nie Praxisnah damit gearbeitet sondern nur sehr viel Theorie und Packet Tracer Übungen.
Deswegen tu ich mir jetzt bei der Umsetzung doch etwas schwer ...
Mitglied: aqui
LÖSUNG 05.09.2019, aktualisiert um 15:58 Uhr
Leider wurden hier bisher einfach alle Netzwerkgeräte (vom Client bis zum Router ... also wirklich alles :D ) in ein /16 Subnetz gepackt.
Gruselig....hysterisch gewachsen. Der Allerlwelts Klassiker schlechthin wenn wenig KnowHow vorhanden ist...
Mein Ziel ist es nun das Netz in ein /24 Subnetz zu segmentieren, dazu VLANs und ACLs einzuführen.
Der richtige Weg !
Ich denke soweit sollte meine Planung korrekt sein
👍 Alles richtig gemacht !!
(Nur was ist das geheimnisvolle "IBN" ? Muss es nicht IBM (= Irrsinniger Bit Manipulator) heissen ?!)
Was man noch anmäkeln könnte wäre das Mitarbeiter WLAN. Das sollte man auch immer zur Sicherheit abtrennen sofern vorhanden. Und...
In welchem VLAN liegt dein "Altnetz" ? Das ist oben gar nicht aufgeführt oder verbleibt das im Default VLAN 1 ?
die neue VLAN Struktur aufzubauen, parallel dazu allerdings das "Altnetz" bestehen zu lassen um keine Ausfälle zu riskieren.
Das ist auch genau der richtge Weg wie man das umsetzt. Alles richtig gedacht...!
Das komplette Umziehen auf die neue Struktur kann und wird an einem Tag geschehen an dem keiner arbeitet,
Das ist nicht zwingend notwendig ! Du kannst das auch sukzessive Schritt für Schritt machen. Das ist manchmal sogar besser, weil man so kleinere Einheiten migrieren kann und gleich live sehen kann ob es fehlerlos rennt. Wenn nicht steckt man immer ins "Altnetz" zurück. Die Migration kann man so auch während des Betriebs machen.
Wichtig ist das du natürlich den oder die Core Router der das L3 macht VORHER schon mit allen VLANs und VLAN IP Adressen konfigurierst UND die Tagged Uplinks auf die Access Switches entsprechend für alle VLANs Taggst ! Auch das kann man während des aktiven Betriebs machen.
Wie so ein Bilderbuchnetz dann mit Layer 3 Core aussieht siehst du unten !
Z.B. hängst du abends mal alle "IBN" (was immer das auch ist ?) um ins neue VLAN.
Das ist aber Geschmackssache. Der eine macht es so, der andere an einem Wochenende. Da gibt es keine goldenen regel, das kommt auch immer auf die individuellen Anforderungen an die man von einem Forum aus natürlich nicht beurteilen kann.
würde dieses Vorgehen so funktionieren oder hole ich mir dabei nur noch mehr Probleme ins Boot?
Nein das tust du nicht. Ganz im Gegenteil.
Gut geplant und es ist der richtige Weg. Es gibt keine bessere Planung. Sofern dein IP Adresskonzept steht, die Management IP Adressen festgelegt sind usw. Kannst du loslegen...
sich Administrator nennen und dann nicht mal VLANs beherrschen
Ist natürlich eine Challenge aber besser jetzt als dieses Gruselnetz nie anfassen ! Man wächst mit der Aufgabe. Ausserdem hast du hier ja immer Hilfe.
Grundlagen erklärt dir auch dieser Thread den du vermutlich auch schon kennst:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
Deswegen tu ich mir jetzt bei der Umsetzung doch etwas schwer ...
Nein, musst du nicht ! Das ist einfach zu machen und du muss keinerlei Angst davor haben. Migriere Schritt für Schritt, dann ist das auch stressfrei

So sähe ein klassisches Netzdesign für ein modernes, einfaches und redundantes Campus Netz, wie z.B. deins eines ist, aus:

stackdesign - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: brammer
05.09.2019 um 16:00 Uhr
Hallo,

(Nur was ist das geheimnisvolle "IBN" ? Muss es nicht IBM (Irrsinniger Bit Manipulator) heissen ?!)

ich tippe mal Inbetriebnahme = IBN.

brammer
Bitte warten ..
Mitglied: aqui
05.09.2019 um 16:07 Uhr
Institut für Baubiologie oder Institut für Biodiversität oder Integrierte Berichterstattung Niedersachsen (IBN) könnte ja auch sein...
Bitte warten ..
Mitglied: Kuebrich
05.09.2019 um 16:12 Uhr
Vielen Dank erstmal für deine Antwort!
Hört man gerne dass schonmal richtig geplant wurde.

(Nur was ist das geheimnisvolle "IBN" ? Muss es nicht IBM (= Irrsinniger Bit Manipulator) heissen ?!)
Was man noch anmäkeln könnte wäre das Mitarbeiter WLAN. Das sollte man auch immer zur Sicherheit abtrennen sofern vorhanden. Und...
In welchem VLAN liegt dein "Altnetz" ? Das ist oben gar nicht aufgeführt oder verbleibt das im Default VLAN 1 ?

Das IBN(=Inbetriebnahme)-Netz beinhaltet keine Mitarbeiter PCs, es sind aber auch keine Gast PCs also mehr sowas in Richtung Entwicklungsnetz. Deswegen bekommt das Ganze ein eigenes Netz.
Im Mitarbeiter WLAN werden nur Geräte die aus dem Unternehmen kommen verbunden, alle externen Geräte kommen ins Gast WLAN.
Genau, das "Altnetz" ist einfach Default VLAN 1. Hat man damals auch so belassen ...

Das ist nicht zwingend notwendig ! Du kannst das auch sukzessive Schritt für Schritt machen. Das ist manchmal sogar besser, weil man so kleinere Einheiten migrieren kann und gleich live sehen kann ob es fehlerlos rennt. Wenn nicht steckt man immer ins "Altnetz" zurück. Die Migration kann man so auch während des Betriebs machen.
Wichtig ist das du natürlich den oder die Core Router der das L3 macht VORHER schon mit allen VLANs und VLAN IP Adressen konfigurierst UND die Tagged Uplinks auf die Access Switches entsprechend für alle VLANs Taggst ! Auch das kann man während des aktiven Betriebs machen.

Das ist der Punkt wo es bei mir etwas aufhört ...
Da ich ja auch meine Server Landschaft in ein VLAN stecken und dabei die IP-Adresse + Subnetzmaske ändern will kann keiner mehr auf die Dienste zugreifen.
Somit lässt sich nicht Produktiv arbeiten und ich habe einen Netzausfall.

Außer natürlich das Ganze lässt sich irgendwie durch Routing verhindern.
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.09.2019, aktualisiert um 16:18 Uhr
und dabei die IP-Adresse + Subnetzmaske ändern will kann keiner mehr auf die Dienste zugreifen.
Gut, die Server sind natürlich besonders, keine Frage. Die migriert man logischerweise immer zu allerletzt da es, wie du schon richtig sagst, dort ja meist ohne eine Downtime nicht geht.
Das Positve ist dann aber das du ALLES andere schon migriert hast und du dann ganz sicher davon ausgehen kannst das der letzte Schritt der Servermigration dann keinerlei Probleme mehr macht.
Bitte warten ..
Mitglied: Kuebrich
05.09.2019 um 16:24 Uhr
Okay jetzt verstehe ich es, ich mach mich mal ran an die Arbeit!
Vielen Dank für die Unterstützung, falls irgendwas auftritt weiß ich wo ich mich (nachdem ich alles geprüft und alle Suchen Funktionen genutzt habe ;) ) melden kann.
Bitte warten ..
Mitglied: aqui
05.09.2019 um 16:29 Uhr
So ist es !
Viel Erfolg !!!
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Wireguard VPN (oder andere alternative) - Kompletter Traffic routen
gelöst KodaCHFrageRouter & Routing15 Kommentare

Guten Morgen Ich habe bisher mit OpenVPN und mit Wireguard VPN einige Tests gemacht. OpenVPN (Kostenlose Version): Hier habe ...

Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server14 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Server-Hardware
Konfiguration und Stromverbrauch ML350 Gen10
kosta88FrageServer-Hardware13 Kommentare

Hallo, ich versuche mal zu berechnen was ein ML350 verbrauchen würde. Ich weiß dass es von der Konfiguration und ...

Server
Kein Zugriff auf NAS bei DS Lite
martingerdesFrageServer11 Kommentare

Hallo liebe Gemeinde, dieses Thema kennen wahrscheinlich viele und ich selbst habe schon viele Forenbeiträge zu diesem Thema gelesen. ...

Grafikkarten & Monitore
Grafikkarte kaputt? Hier muss noch etwas hin, weil der andere Titel schon vergeben ist :)
Sir.classicFrageGrafikkarten & Monitore9 Kommentare

Hallo an alle, ich habe einen selbst gebauten PC und mein Problem ist, dass meine Monitore regelmäßig (alle 3h) ...

LAN, WAN, Wireless
Spanning Tree Probleme
predator66FrageLAN, WAN, Wireless9 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Ähnliche Inhalte
LAN, WAN, Wireless

VLAN Umstellung 16er Subnetz auf 24er Subnetz pro VLAN

gelöst tech-flareFrageLAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich habe ihr ein Netz, welches historisch gewachsen ist , welches VLAN bisher nur aus Büchern kennt. ...

Netzwerkprotokolle

Umstellung eines 172.16.0.0 - 16er Netzes in Segmente (Segmentierung, vlan migration): sinnvolles Vorgehen?

fennsenFrageNetzwerkprotokolle13 Kommentare

Hallo zusammen, brauche mal bitte den Rat der Experten hier. habe vor Jahren in meinem unwissentlichen Leichtsinn ein Netz ...

TK-Netze & Geräte

Fax im Betrieb

gansa28FrageTK-Netze & Geräte7 Kommentare

Hallo zusammen, Endlich wurden meine Gebete Erhört und der Rechner meines Bekannten dem ich etwas unter die Arme greife, ...

Netzwerkmanagement

VLAN - vom Default vLan ins vLAN 10

gelöst DaPeddaFrageNetzwerkmanagement2 Kommentare

Hallo zusammen, ich stehe vor der Aufgabe, VM's hosted by iSCSI von einem Rack in ein neues umzusiedeln; und ...

Netzwerkmanagement

Viprinet - Zuverlässig in Betrieb?

gelöst istike2FrageNetzwerkmanagement2 Kommentare

Hallo, ich bereite gerade ein Kundenprojekt vor, wo vermutlich Viprinet oder Peplink Lösungen in Frage kommen. Was Peplink betrifft ...

Backup

LTO Bandlaufwerke - Temperatur-Angaben bezüglich Betrieb - reale Temperaturwerte im Betrieb

KevGerFrageBackup2 Kommentare

Hallo, ich teste gerade ein Tandberg LTO-7 HH Laufwerk. Kurz zum Setup: Eingebaut ist das Laufwerk in einen BigTower ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT