Hallo an alle,
seit langem lese ich schon im Forum aus Interesse mit, jedoch hatte ich noch nie die Gelegenheit aktiv an der Community teil zu nehmen. Ich hoffe das ändert sich hiermit.
Wir haben aktuell ein Projekt das mir übertragen wurde, welches eine Netzwerksegmentierung voraussetzt. Wir sind ein mittelständiges Unternehmen mit einer schwankenden Mitarbeiter Zahl, jedoch liegt diese immer im Rahmen von 180 – 200 Mitarbeiter. Da unser Netzwerk jedoch in die Jahre gekommen ist und das aktuelle Budget vorhanden ist sowie auslaufende Wartungsverträge anstehen, muss ein neues Netzwerk her, das stabil und performant läuft.
Anbei eine kleine Auflistung des derzeitigen Netzwerks:
1. Wir haben etwa 150 Clients die über Gbit angeschlossen sind
2. Wir haben ungefähr 10 virtuelle Server die in der DMZ stehen und mit Gbit angeschlossen sind. Dieses muss auf 10Gbit hochgestuft werden.
3. Wir haben mehrere virtuelle Server in Betrieb, jedoch sind alle über Gbit angeschlossen, außer der Fileserver, der auf 10Gbit läuft. (Dieser könnte jedoch 20Gbit voll ausreitzen, Datenträgerseitig)
4. Unser Backupsystem ist über 10Gbit angeschlossen und soll auch auf 20Gbit gehen (Dieser könnte auch 20Gbit voll ausreitzen)
5. Zu guterletzt, wollen wir noch ein Verwaltungssystem anschaffen, wo Drucker, WLAN, Monitoring und Logging usw läuft, damit alles schön separiert wird.
Zurzeit ist es so, das alle System kreuz und quer in zwei Subnetzen verteilt ist, das heisst, Client Server und Backup liegen im gleichen Netz und können aufeinander zugreifen (danke an meinen Vorgänger).
Anbei ist ein Diagramm, das das neue Netzwerk erklären soll.
1. Alle Client sollen sich in einem seperaten Netzwerk befinden ( zB. 10.0.1.0/24 ) und alle 4 Switche, die jeweils 48 Ports haben, sollen per 10Gbit an einen Core Switch angeschlossen werden, der insgesamt 20Gbit an die Firewall weitergibt. Die derzeitige Auslastung ist nicht relevant genug um die 40Gbit vom Core Switch an die Firewall weiter zu geben.
2. Die DMZ ( zB. 10.0.3.0/24 ) und die Verwaltung ( zB. 10.0.4.0/24 ) sollen sich einen Switch teilen, diese werden per Portisolierung voneinander getrennt, sodass jede Instanz ( DMZ und Verwaltung ) einen separaten Uplink zum CoreSwitch bekommt. Der Switch wird in Richtung 24 Port RJ45 und 4x SFP+ gehen.
3. Auch die Serverumgebung ( zB. 10.0.2.0/24 ) soll direkt an den Core angeschlossen werden, das heisst 20Gbit für den Fileserver und jeweils 10Gbit pro Hypervisior, jedoch wird die Serverumgebung mit 20Gbit angebunden und die Backupumgebung ( zB. 10.0.5.0/24 ) soll per QSFP auf 40Gbit laufen. (Die jeweiligen Server haben keine große Auslastung, deswegen der „Flaschenhals“ mit 20Gbit im ganzen Serverbereich)
4. Der Core Switch gibt somit 20Gbit der Client an die Firewall weiter, 10GBbit der DMZ, 10Gbit der Verwaltung, 20Gbit der Server und 40Gbit der Backupumgebung.
Das ist gemessen, an dem was wir jetzt haben, ein gewaltiger Sprung in Richtung Performance, Sicherheit und Erweiterbarkeit.
Hier meine Fragen:
1. Was haltet ihr von diesem Konzept und was würdet ihr verbessern?
2. Switche habe ich schon rausgesucht (HPE Aruba 2540 48G JL355A), Core Switche zu finden, die das abdecken und nicht überdimensioniert sind, sind schwer zu finden. Könnt ihr was empfehlen?
Danke schon mal für eure Unterstützung, ich bin sehr gespannt auf Feedback 😊