Neues Subnetting kompatibel mit Schulkonsole?

Hallo zusammen,

wir haben momentan für jeden Raum ein Subnetz nach dem Muster 10.16.151.1 (Rechner 1 in Raum 151) und dadurch an die 100 Subnetze. Der Server fungiert derzeit als Default Gateway für das gesamte Netzwerk, und regelt den Verkehr zwischen den verschiedenen Subnetzen. WLAN gibt’s bei uns mittels CoovaChilli im BLAUen Netz.

Unser Dienstleister sieht dies als performance- und sicherheitskritisch und empfiehlt nun eine Segmentierung durch VLANs:
“Zu empfehlen ist eine Netzwerksegmentierung durch anlegen verschiedener Layer2 und Layer3 vlans.
Im besten Fall gibt es entsprechend der angelegten vlans passende Subnetze/DHCP Ranges am DHCP Server. Beispiel vlan 10 für Lehrer, Subnetz 10.16.10.X /24”

Da ich mich zu wenig auskenne, hoffe ich, ihr könnt mr helfen. Mich bewegen vor allem drei Fragen;

1. Wäre die Schulkonsole nach einer solchen Aktion weiterhin vollumfänglich nutzbar?
2. Läuft Linbo und das Imageausrollen weiterhin?
3. Wäre hinsichtlich einer zukünftigen WLAN-Nutzung durch Lehrer UND Schüler eine solche Segmentierung sinnvoll?
   [4. Wer konfiguriert mir den ganzen Mist?]

Viele Grüße
Guido

Hi Guido.
Wir haben diese Umstellung bereits hinter uns und sind SEHR zufrieden damit! Ja, die Umstellung ist eine Menge Arbeit, da man jeden einzelnen Switch im Gebäude und manchmal sogar jeden einzelnen Port durchgehen muss, doch danach hat man eine saubere Trennung. Unser Netz läuft seitdem sehr viel besser und auch LINBO reagiert schneller, da die Broadcasts nicht mehr so lange dauern.

Zu 1: Klar das Servernetz ist aus jedem Subnetz erreichbar
Zu 2: Ja, bei uns besser als vorher!
Zu 3: Ich meine ja: Wir waren bei uns erst duch die Umstellung auf VLANs überhaupt in der Lage, das WLAN-Signal an “jede” Stelle ins Schulgebäude zu bekommen. Vorher wäre das nur mit gigantischem Umbau möglich gewesen.
Zu 4: Das kann ich nicht beantworten, aber wenn ihr’s vergebt, wird’s offenbar teuer…

Die Anleitung ist (jetzt) hier:
http://docs.linuxmuster.net/de/latest/howtos/netzbrief-basics/index.html

Ach ja: Bei uns läuft produktiv noch V6.1!

Hallo Guido!

Hier deine Antworten:

1. Ja
2. Ja
3. Ja
4. Der Dienstleister.

Natürlich, schließlich sind wir linuxmuster.net können wir helfen. Boah, wat bin ich doch arrogant!
Spass beiseite, schau dir mal unsere offizielle Doku zu dem Thema an.

http://docs.linuxmuster.net/de/latest/howtos/netzbrief-basics/index.html

Falls dann Fragen auftauchen, weißt du ja an wenn du dich wenden kannst.

Aber wie schon gesagt, die Antwort auf 4. weil es nicht trivial ist: Der Dienstleister oder Du wenn Du viel dazulernen willst.

Beste Grüße

Thorsten

Hallo Guido,

Unser Dienstleister sieht dies als performance- und sicherheitskritisch
und empfiehlt nun eine Segmentierung durch VLANs:

damit hat er recht.

“Zu empfehlen ist eine Netzwerksegmentierung durch anlegen verschiedener
Layer2 und Layer3 vlans.
Im besten Fall gibt es entsprechend der angelegten vlans passende
Subnetze/DHCP Ranges am DHCP Server. Beispiel vlan 10 für Lehrer,
Subnetz 10.16.10.X /24”

das steht in der Doku, die in den anderen Beiträgen verlinkt ist.
Bei mir habe ich ca. 10 Subnetze:
eines pro Rechnerraum, eines für den Lehrerrechnerraum (Lehrernetz)
Eines für alle NWT Rechner, eines für die Mensa, eines für alle Rechner
in den Klassenzimmern (ca. 50 Rechner), eines für die Bibliothek, das
Servernetz und eines für "sonstiges"
Deine workstations müßte einmal “bereinigt” werden.

Die Fragen haben die anderen Beantwortet.

LG

Holger

Hallo zusammen,

vielen Dank für die schnellen und hilfreichen Antworten!
Dann werden wir das angehen. Ich werde mir die Anleitung vorknöpfen und das Meiste hoffentlich selbst hinbekommen bzw. vom Dienstleister konfigurieren lassen.

Was ist mit den letzten beiden Punkten? Da steht noch nichts.
–>Weitere L2-Switches mit VLans anbinden
–>Umstellen des Servers auf Subnetting

Viele Grüße
Guido

Nur als Ergänzung:
Ich weiß nicht, wie gut du dein Netzwerk dokumentiert hast, aber wenn du auf Subnetting gehst, kann ich dir nur empfehlen, JEDEN Port in JEDEM Switch irgendwo zu erfassen, denn mit Subnetting ist es vorbei, mal “kurz” irgendeinen Port im Serverschrank zu benutzen und zu hoffen, dass man da 'ne IP bekommt!

Ich kann Dir eine Vorlage schicken, wenn du willst. Ich habe damals die Bilder aus dem Wiki mit LibreOffice nachgebildet und an unsere Zwecke angepasst. Dann musst du jedenfalls nicht bei 0 anfangen…
(Bei Interesse einfach per PM melden…)

Das ist ein guter Tipp! Wir „beschriften“ auf unseren Cisco-Switchen direkt in der Config.

vG

Hallo Stephan!

Kannst du mal ein Beispiel geben wie ihr beschriftet. Also nicht das Handwerkliche sondern den Inhalt. Bin gerade am überlegen welche Informationen sinnvoll sind.

Beste Grüße

Thorsten

Hallo Thorsten,

wir beschriften in der Regel bei Trunkports (die Accessports kann man sich mit show vlan ansehen, in welchem VLAN sie sind). Dort beschriften wir z.B. an welchem Port sie gehen, z.B. to_WLC_NIC1. Manchmal haben wir auch noch ein Kommentar zum VLAN oder so.

Für uns erfüllt die Beschriftung v.a. den Zweck, wenn man nicht direkt am Switch ist, aber an der Konfiguration was ändern möchte (z.B. neues VLAN) und man vergessen hat, wo der Port am Gegenüber angeschlossen ist. Ein sauberere Dokumentation würde es auch tun, aber da haben wir noch nicht die optimale Lösung gefunden, außer man macht sich eine LibreOffice Draw Dokument (haben wir auch, aber eher für die grobe Struktur, nicht für die Ports). Optioen wären evtl.

• https://www.racktables.org/
• https://github.com/digitalocean/netbox

Ist vielleicht auch etwas “over-kill”

Wir haben i.d.R. die Small Business Switche von Cisco. Je nach Firmware / Modell kann man dort eine Description angeben oder man muss das “Name”-Feld dafür missbrauchen

vG

Hallo zusammen,

der Link zu der offiziellen Doku, der mir mehrmals empfohlen wurde, funktioniert nicht mehr:

http://docs.linuxmuster.net/de/latest/howtos/netzbrief-basics/index.html http://docs.linuxmuster.net/de/latest/howtos/netzbrief-basics/index.html

Möchte mich aber die Tage mal dransetzen. Gibt’s einen neuen Ort?

Viele Grüße
Guido

Hallo Guido,

wir strukturieren gerade unsere Dokumentation um, siehe Dokumentation v6.2 in neuer Struktur

Der neue Ort ist jetzt:

http://docs.linuxmuster.net/de/latest/systemadministration/network/subnetting-basics/index.html

Grüße,
Sven

Den neuen Ort kenne ich auch noch nicht. Wolltest du denn nun die Vorlage (LibreOffice) haben oder brauchst du das nicht??

Sven: du warst etwas schneller. Die neue Doku ist aber noch nicht vollständig, wie es aussieht??

Hallo Guido,

Himmel … gestern Abend ging der Link noch.

der Link zu der offiziellen Doku, der mir mehrmals empfohlen wurde,
funktioniert nicht mehr:

http://docs.linuxmuster.net/de/latest/howtos/netzbrief-basics/index.html
http://docs.linuxmuster.net/de/latest/howtos/netzbrief-basics/index.html

Möchte mich aber die Tage mal dransetzen. Gibt’s einen neuen Ort?

die Doku ist nun hier:

http://docs.linuxmuster.net/de/latest/systemadministration/network/subnetting-basics/index.html

LG

Holger

Ja, Sven war wirklich schnell.

Die letzten beiden Punkte
–> Weitere L2-Switches mit VLans anbinden
–> Umstellen des Servers auf Subnetting

sind nicht beschrieben (war aber am alten Ort auch schon so).

Grüße
Guido

Mir fiel auf, dass die Links auf die Konfigurationen vom L3-Switch alle auf die gleiche Datei zeigen. Das war schon vor einiger Zeit mal Thema in der Liste.
Zudem hatte ich (als wir umgstellt hatten) diese zusätzlichen Anmerkungen gemacht:

und vielleicht noch wichtiger:

Hallo Guido,

I know, dafür gibt es länger schon ein Ticket. Ich glaube, Christian @cweikl hat die Doku damals neu zusammengeschrieben. Mit Absicht oder ohne hat er ein paar Teile weggelassen. Ich habe ihn schon in github angeschrieben, mache es hiermit aber nochmal offiziell: Christian, willst du dich noch um den Rest der Doku zum Subnetting kümmern?
Will das jemand anderes machen?
Hier steht wie.

VG, Tobias

3 Beiträge wurden in ein neues Thema verschoben: Vlan Doku/Doku Verteilerschrank

Hi Tobi,
habe mit der Doku zur Netzsegmentation heute begonnen. Rückfrage: Soll denn die Doku bei den drei Segmenten bleiben ? Im Wiki ist die Darstellung komplexer mit mehr VLANs. Ich denke, es ist hilfreich, diese möglichst einfach zu halten.
VG
Chris

Hi Chris.
Also wir haben deutlich mehr als 3 VLANs. Ich habe mich damals zunächst sehr genau an die Anleitung gehalten und zunächst alles 1:1 so umgesetzt, wie es dort stand, bevor ich selbst notwendige Anpassungen vorgenommen habe. Wenn man das Schema einmal begriffen hat, läuft es für alle weiteren VLANs ja analog ab. Von daher meine ich, dass es exemplarisch mit 3 VLANs in der Doku ausreichend ist.

Zwei weitere Vorschläge zur Ergänzung (neben den schon zitierten “Fehlern” (s.o.)):

• Es ist sinnvoll, ein Management-VLAN für die Verwaltung der Switches einzurichten. Bei mir ist das 10.16.2.0/24. Zugriff hat nur eine VM, die im gleichen Segment liegt. Dadurch sind die Switches etwas aus der Schusslinie genommen…

• Zudem kann man mit aufnehmen, dass alle unbenutzen Ports auf ein Black-Hole-VLAN (z.B. 999) gelegt werden, damit bei fehlerhafter / unbedachter Verkabelung nichts passieren kann, was man nicht will.

Schönen Gruß,
Michael

Hi Michael,

ok. Deine Vorschläge zur Ergänzung sehe ich ebenfalls so - ein Management VLAN ist Pflicht ebenso eins für ungenutzte Ports (Alternative: Ports herunterfahren). Ich würde das aber zunächst in der Hauptdoku rauslassen und am Ende der Doku als Hinweis ergänzen, damit es zu Beginn möglichst einfach bleibt, oder ?

VG
Chris