Verfasst am: Mo Aug 06, 2012 9:11 am Titel: Netzwerk trennen
Habe vor mein Netzwerk sicherer zu machen und zu virtualisieren, dazu habe ich mir von Netgear den SRX5308 geleistet. Der hat 4 LANs, möchte an den 4. Anschluss meinen Server geben, der von allen erreichbar sein soll. Brauche dann 3 getrennte Netze, derzeit hat der alte Server(Server2003) 3 Netzwerkkarten jeweils direkt mit Switches verbunden: 192.168.0.1 + 192.168.1.1 + 192.168.2.1
Mein neuer Server hat nur 2 Anschlüsse, ideal wären aber wieder 3 getrennte Netzbereiche. Habe am neuen Server jetzt Hyper V Server 2008 installiert und will dort den alten Server virtuell weiterverwenden. Wer kann mir Tipps geben wie ich das am geschicktesten in die Praxis umsetzen kann (Einstellungen, DHCP, Subnetmask...)
CT2 Kabeltester
Anmeldungsdatum: 10.06.2011 Beiträge: 415
Verfasst am: Di Aug 07, 2012 1:47 am Titel: Re: Netzwerk trennen
Mit VLANs.
Lieberwolf Strippenzieher
Anmeldungsdatum: 06.08.2012 Beiträge: 5
Verfasst am: Do Aug 09, 2012 5:49 pm Titel:
Hab mit VLans noch nie was gemacht, kannst mir das etwas genauer erklären?
Habe jetzt vor an meiner Firewall 192.168.0 + 192.168.1 + 192.168.2 Netze mit DHCP anzustecken und am 4. Anschluss meinen Server auf 192.168.1.1 zu betreiben. Was muss ich aber einstellen damit alle netze auf den Server Zugriff bekommen ohne sich aber untereinander zu sehen? Würde ich das mit der Subnetmask 255.255.252.0 erreichen?
Das Netgear-Ding kann mit VLANs umgehen, sollte also kein Problem sein. Hast du noch weitere Switches? Wenn ja, dürfen die dann nur in einem Teilnetz liegen oder müssen auch VLAN-fähig sein.
Der HyperV kann mit VLANs umgehen, ich weiß aber nicht, ob eine "gscheite" Netzwerkkarte (Intel, Broadcom) Voraussetzung ist, die das auch unterstützt.
Grüße, Stefan
Lieberwolf Strippenzieher
Anmeldungsdatum: 06.08.2012 Beiträge: 5
Verfasst am: Fr Aug 10, 2012 2:17 pm Titel:
Danke für den Lektürelink, bin gerade am schmökern....
An der Firewall hängen noch für jedes Netz mehrere Switches. Hatte in jeder Switchgruppe bis jetzt ja ein Kabel zum Server gesteckt (3 Netzwerkkarten) und so überall Verbindung zum Server. Der Neue hat aber nur 2 Karten...
CT2 Kabeltester
Anmeldungsdatum: 10.06.2011 Beiträge: 415
Verfasst am: Fr Aug 10, 2012 4:09 pm Titel:
Hallo,
Lieberwolf hat folgendes geschrieben::
Hatte in jeder Switchgruppe bis jetzt ja ein Kabel zum Server gesteckt (3 Netzwerkkarten) und so überall Verbindung zum Server.
Und genau das macht man heutzutage eigentlich nicht mehr! Denn der Sinn eines virtuellen LAN (VLAN) ist ja eben, nur noch einen Switch zu haben, und darüber dann virtuell die Separation zu realisieren.
Ein VLAN-fähiger Switch (und Router für Layer 3) ist die Basis für eine Virtualisierung der Netzumgebung. Nachrangig sind hier die Komponenten, die angeschlossen werden sollen, wie Server und Clients. Eine Server-Virtualisierungsplattform macht noch keine virtualisierte Netzwerkumgebung aus, sondern ist höchstens ein (nicht unbedingt notwendiger) Baustein davon.
Die Lernkurve bei VLANs ist wirklich extrem steil, da hast Du also einiges vor Dir. Zumal Deine aktuelle Umgebung schon einen gewissen Komplexitätsgrad aufweist, und man hier im ersten Schritt die Hierarchie etwas flacher halten sollte.
damit alle netze auf den Server Zugriff bekommen ohne sich aber untereinander zu sehen? Würde ich das mit der Subnetmask 255.255.252.0 erreichen?
Und verschiedene IP-Adressbereiche (mit entsprechend angepassten Subnetzmasken), die sich alle auf einem Switch befinden, dienen höchstens der Strukturierung, der Sicherheit zur Netztrennung aber keinesfalls!
Lieberwolf hat folgendes geschrieben::
Habe am neuen Server jetzt Hyper V Server 2008 installiert und will dort den alten Server virtuell weiterverwenden.
Warum das eigentlich (letzteres)? Und warum nicht einfach alles neu aufsetzen?
Um Dir hier näheres zu möglichen Realisierungsmöglichkeiten sagen zu können, müsstest Du viel mehr Informationen zu Deiner Umgebung und Deinen Zielen liefern. Deine Ausführungen wie "An der Firewall hängen noch für jedes Netz mehrere Switches" oder "3 Netzwerkkarten jeweils direkt mit Switches verbunden: 192.168.0.1 + 192.168.1.1 + 192.168.2.1" sind im Themenkomplex VLAN als Info einfach viel zu dürftig!
Gruß.
Lieberwolf Strippenzieher
Anmeldungsdatum: 06.08.2012 Beiträge: 5
Verfasst am: Fr Aug 10, 2012 9:03 pm Titel:
Vorhandene Hardware:
7 Netgear ProSafe GS724T (GBit mit 24 Ports)
1 Netgear ProSafe SRX5308 (Firewall 4 WAN 4 LAN)
alter Server Win2003 (geht dann vom Netz, später für Sicherungszwecke wenn neuer gut und stabil läuft)
neuer Server Hyper-V: alter soll da drauf virtuell laufen (dachte ist am wenigsten Aufwand, keine neuen Lizenzen notwendig, Benutzer, Daten usw bleiben gleich)
Es handelt sich hier um eine Schule die ich weiterhin in 3 Netze unterteilt lassen möchte:
1 Verwaltungsnetz (ca 20 Geräte)
1 Netz für die moderneren EDV-Räume (ca 60 Geräte)
1 Netz für alten Raum + Klassen (ca 50 Geräte)
Neuer Server (Lenovo Thinkserver RD240) soll auch für Lernzwecke virtuell bis zu 20 PC mit Win7, später Win8 aufnehmen, deswegen starke Hardware (2 Xeon E5645, 64 GB RAM, 2x 300GB SAS 15k Raid1, 6x 2 TB 7.2K Raid5) + USV
Ich weiß dass man das heute nicht mehr mit mehreren Netzwerkkarten macht sondern VLans, drum versuche ich mich in die Materie einzuarbeiten und weg davon zu kommen.
Server hat folgende Funktionen/laufen diese Programme : squid als Proxy, Symantec Ghost fürs Clonen, Domänencontroller, DHCP, DNS, GData Netzwerkversion Antivirus, Acronis® Backup & Recovery™ 11
Vom Netzwerk her dient er hauptsächlich als Fileserver da es keine persönlichen Profile gibt sondern nur gerätbezogene lokale Profile.
Derzeit gehe ich in folgende Richtung, bitte korrigiert mich sollte ich am Holzweg sein: Verwaltungsnetz 1 Switch direkt mit 2. Netzwerkkarte am Server verbunden und Schülernetze über VLans auf der 1. Netzwerkkarte und restliche Switches(verbunden).
CT2 Kabeltester
Anmeldungsdatum: 10.06.2011 Beiträge: 415
Verfasst am: Di Aug 14, 2012 5:46 pm Titel: Re: Netzwerk trennen
Hallo Lieberwolf,
also die Information "Schule" ist ja schon sehr wichtig, u. a. um das angestrebte Sicherheitsniveau etc. zu planen und dann auch beurteilen zu können ... diese Info hätte definitiv in Dein Erstposting gehört!
Dann ist festzuhalten, dass es sich um managebare Websmart-Switche von Netgear handelt (Netgear ProSafe GS724T-300), die sowohl VLAN-fähig sind, als auch die Möglichkeit bieten Link Aggregation zu realisieren. Die Voraussetzungen für Dein Vorhaben sind im Switch-Bereich also alle erfüllt ... war das (Dir) denn schon so klar gewesen?
Falls noch nicht geschehen, müsstest Du Dich im ersten Schritt mit der Administration der Switche intensiv vertraut machen (entweder über das Webinterface oder mit Hilfe der Netgear-eigenen Admin-Software) und hier bei allen Switches Firmware-Updates durchführen, in der Konfig. der Switche die Ports etc. jeweils benennen, die Switche durchkonfigurieren, etc.
Ich habe bereits Umstellungen auf VLAN in ähnlich großen Umgebungen durchgeführt, und kann Dir aus Erfahrung sagen, dass Du dieses VLAN-Vorhaben ohne optimale Vorbereitung, d. h. schriftlichen Dokumentation (Visio und Excel-Sheets) und Beschriftung (Dymo-Etiketten) sämtlicher Patchpanel, Ports etc., Vorabtest der ganze Switch-Konfig. mit einigen ausgewählten Test-Clients, entweder gar nicht oder (im optimalen Fall) nicht innerhalb eines Arbeitstages umgestellt bekommen wirst.
Lieberwolf hat folgendes geschrieben::
Vom Netzwerk her dient er hauptsächlich als Fileserver
Ich binde einen Fileserver mit mehreren Netzwerkkarten an einen Managed Switch gerne mit Bonding/Etherchannel an, um etwas Lastausgleich und Failover zu schaffen. Ob die vorhandenen Netzwerkkarten (z. B. via LACP) das mit ihren Treibern unterstützen, das müsstest Du explizit nachschlagen, oder einfach ausprobieren. - Ebenfalls ist es bei einigen (älteren) Server-Netzwerkkarten nicht möglich, einen VLAN-Trunk über eine dynamischen Bündelung von physischen Netzwerkverbindungen (also LACP) zu realisieren. Dies müsste man ebenfalls nachschlagen und in jedem Fall vorab per Testing ausprobieren.
Lieberwolf hat folgendes geschrieben::
Verwaltungsnetz 1 Switch direkt mit 2. Netzwerkkarte am Server verbunden und Schülernetze über VLans auf der 1. Netzwerkkarte und restliche Switches(verbunden).
Aus vorgenanntem folgert auch, dass ich alles Switche via Port Trunking bzw. Link Aggregation (o. ä.) am besten via LACP (IEEE 802.3ad) verbinden würde. D. h. man konfiguriert zuerst auf den Switches ausgewählte Ports (z. B. jeweils 20 bis 24) derart, dass man 2 oder 4 Patchkabel zur Switch-Verbindung einsetzt (also ein Uplink über mehrere Kanäle). Dadurch erreicht man etwas Lastausgleich und Failover, man reduziert auf diese Weise den Flaschenhals also etwas (VLAN-Thematik zu diesem Hardwarethema siehe auch hier: Verbindung von VLAN-Switches).
Besser wäre es natürlich gewesen, wenn man z. B. 4x 48-Port-Switche gehabt hätte, die dann auch noch "stackable"-fähig gewesen wären. Denn ein Nachteil dieser 7x 24-Port-Switch-Lösung ist, dass von den 24 Ports Dir jetzt nur noch jeweils 20 Ports für den Netzwerk-Einsatz übrig bleiben. - Alternativ könnte man auch überlegen, die vorhandenen beiden SFP-Ports (ausgestattet mit den passenden Mini-GBICs, z. B. 1000Base-SX SFP GBIC Modul (AGM731F)) an jedem Switch zum Einsatz zu bringen ...
Ich würde also alle VLANs auf allen Switchen via VLAN-Trunk abbilden, um so die Flexibilität zu haben, für jedes VLAN/Teilnetz jederzeit Clients hinzufügen zu können, ohne hier auf die Portanzahl eines einzelnen 24-Port-Switches beschränkt zu sein, was bei Deiner Lösung jedoch der Fall wäre ("Verwaltungsnetz 1 Switch direkt mit 2. Netzwerkkarte am Server verbunden"). - Der Einsatz von Tagged VLANs nach IEEE 802.1Q ist hierbei ebenfalls das Mittel der Wahl, da es ebenfalls mehr Flexibilität bietet.
Nochmal: Deine Umgebung ist relativ groß, im Detail relativ komplex, und es müssen in jedem Fall gewisse Sicherheitsstandards eingehalten werden. Ohne Erfahrung mit VLAN, oder ein hohes Maß an Zeitinvestition vorab, wirst Du Dein Vorhaben "Umstellung auf VLAN-Infrastruktur" nicht vernünftig realisiert bekommen. Unterstützung hierbei ist via Forum ja auch nur bedingt möglich.
Gruß.
Lieberwolf Strippenzieher
Anmeldungsdatum: 06.08.2012 Beiträge: 5
Verfasst am: Sa Aug 25, 2012 9:22 pm Titel:
Danke für die hilfreichen Tipps, habe den leichteren Weg gewählt und über die 2 Netzwerkkarten und der Firewall das Netzwerk konfiguriert. Mein alter Win2003-Server läuft jetzt flott virtuell auf dem Hyper-V-Server 2008 R2.
1. Netzwerkkarte + 2 Switches + 1. Lan der Firewall = 1. VLAN
2. Netzwerkarte verbunden mit 4.Lan der Firewall + 3 Switch am 2. Lan + 2 Switch am 3. Lan = 2. VLAN. Die 2 Schülernetze haben zwar selben IP-Bereich und Zugriff auf denselben Server, sehen sich aber untereinander nicht, mehr brauche ich nicht. Das Netz läuft jetzt gut und stabil, jetzt habe ich Zeit mir Gedanken über eine gut geplante wirkliche Trennung durch VLANs in den nächsten Jahren zu machen.
Sie können keine Beiträge in dieses Forum schreiben. Sie können auf Beiträge in diesem Forum nicht antworten. Sie können Ihre Beiträge in diesem Forum nicht bearbeiten. Sie können Ihre Beiträge in diesem Forum nicht löschen. Sie können an Umfragen in diesem Forum nicht mitmachen.
FAQ
Suchen
Registrieren
Login
- 
- 