wir haben momentan für jeden Raum ein Subnetz nach dem Muster 10.16.151.1 (Rechner 1 in Raum 151) und dadurch an die 100 Subnetze. Der Server fungiert derzeit als Default Gateway für das gesamte Netzwerk, und regelt den Verkehr zwischen den verschiedenen Subnetzen. WLAN gibt’s bei uns mittels CoovaChilli im BLAUen Netz.
Unser Dienstleister sieht dies als performance- und sicherheitskritisch und empfiehlt nun eine Segmentierung durch VLANs:
“Zu empfehlen ist eine Netzwerksegmentierung durch anlegen verschiedener Layer2 und Layer3 vlans.
Im besten Fall gibt es entsprechend der angelegten vlans passende Subnetze/DHCP Ranges am DHCP Server. Beispiel vlan 10 für Lehrer, Subnetz 10.16.10.X /24”
Da ich mich zu wenig auskenne, hoffe ich, ihr könnt mr helfen. Mich bewegen vor allem drei Fragen;
Wäre die Schulkonsole nach einer solchen Aktion weiterhin vollumfänglich nutzbar?
Läuft Linbo und das Imageausrollen weiterhin?
Wäre hinsichtlich einer zukünftigen WLAN-Nutzung durch Lehrer UND Schüler eine solche Segmentierung sinnvoll?
[4. Wer konfiguriert mir den ganzen Mist?]
Hi Guido.
Wir haben diese Umstellung bereits hinter uns und sind SEHR zufrieden damit! Ja, die Umstellung ist eine Menge Arbeit, da man jeden einzelnen Switch im Gebäude und manchmal sogar jeden einzelnen Port durchgehen muss, doch danach hat man eine saubere Trennung. Unser Netz läuft seitdem sehr viel besser und auch LINBO reagiert schneller, da die Broadcasts nicht mehr so lange dauern.
Zu 1: Klar das Servernetz ist aus jedem Subnetz erreichbar
Zu 2: Ja, bei uns besser als vorher!
Zu 3: Ich meine ja: Wir waren bei uns erst duch die Umstellung auf VLANs überhaupt in der Lage, das WLAN-Signal an “jede” Stelle ins Schulgebäude zu bekommen. Vorher wäre das nur mit gigantischem Umbau möglich gewesen.
Zu 4: Das kann ich nicht beantworten, aber wenn ihr’s vergebt, wird’s offenbar teuer…
Natürlich, schließlich sind wir linuxmuster.net können wir helfen. Boah, wat bin ich doch arrogant!
Spass beiseite, schau dir mal unsere offizielle Doku zu dem Thema an.
Unser Dienstleister sieht dies als performance- und sicherheitskritisch
und empfiehlt nun eine Segmentierung durch VLANs:
damit hat er recht.
“Zu empfehlen ist eine Netzwerksegmentierung durch anlegen verschiedener
Layer2 und Layer3 vlans.
Im besten Fall gibt es entsprechend der angelegten vlans passende
Subnetze/DHCP Ranges am DHCP Server. Beispiel vlan 10 für Lehrer,
Subnetz 10.16.10.X /24”
das steht in der Doku, die in den anderen Beiträgen verlinkt ist.
Bei mir habe ich ca. 10 Subnetze:
eines pro Rechnerraum, eines für den Lehrerrechnerraum (Lehrernetz)
Eines für alle NWT Rechner, eines für die Mensa, eines für alle Rechner
in den Klassenzimmern (ca. 50 Rechner), eines für die Bibliothek, das
Servernetz und eines für „sonstiges“
Deine workstations müßte einmal „bereinigt“ werden.
vielen Dank für die schnellen und hilfreichen Antworten!
Dann werden wir das angehen. Ich werde mir die Anleitung vorknöpfen und das Meiste hoffentlich selbst hinbekommen bzw. vom Dienstleister konfigurieren lassen.
Was ist mit den letzten beiden Punkten? Da steht noch nichts.
–>Weitere L2-Switches mit VLans anbinden
–>Umstellen des Servers auf Subnetting
Nur als Ergänzung:
Ich weiß nicht, wie gut du dein Netzwerk dokumentiert hast, aber wenn du auf Subnetting gehst, kann ich dir nur empfehlen, JEDEN Port in JEDEM Switch irgendwo zu erfassen, denn mit Subnetting ist es vorbei, mal “kurz” irgendeinen Port im Serverschrank zu benutzen und zu hoffen, dass man da 'ne IP bekommt!
Ich kann Dir eine Vorlage schicken, wenn du willst. Ich habe damals die Bilder aus dem Wiki mit LibreOffice nachgebildet und an unsere Zwecke angepasst. Dann musst du jedenfalls nicht bei 0 anfangen…
(Bei Interesse einfach per PM melden…)
Kannst du mal ein Beispiel geben wie ihr beschriftet. Also nicht das Handwerkliche sondern den Inhalt. Bin gerade am überlegen welche Informationen sinnvoll sind.
wir beschriften in der Regel bei Trunkports (die Accessports kann man sich mit show vlan ansehen, in welchem VLAN sie sind). Dort beschriften wir z.B. an welchem Port sie gehen, z.B. to_WLC_NIC1. Manchmal haben wir auch noch ein Kommentar zum VLAN oder so.
Für uns erfüllt die Beschriftung v.a. den Zweck, wenn man nicht direkt am Switch ist, aber an der Konfiguration was ändern möchte (z.B. neues VLAN) und man vergessen hat, wo der Port am Gegenüber angeschlossen ist. Ein sauberere Dokumentation würde es auch tun, aber da haben wir noch nicht die optimale Lösung gefunden, außer man macht sich eine LibreOffice Draw Dokument (haben wir auch, aber eher für die grobe Struktur, nicht für die Ports). Optioen wären evtl.
Wir haben i.d.R. die Small Business Switche von Cisco. Je nach Firmware / Modell kann man dort eine Description angeben oder man muss das “Name”-Feld dafür missbrauchen
Mir fiel auf, dass die Links auf die Konfigurationen vom L3-Switch alle auf die gleiche Datei zeigen. Das war schon vor einiger Zeit mal Thema in der Liste.
Zudem hatte ich (als wir umgstellt hatten) diese zusätzlichen Anmerkungen gemacht:
I know, dafür gibt es länger schon ein Ticket. Ich glaube, Christian @cweikl hat die Doku damals neu zusammengeschrieben. Mit Absicht oder ohne hat er ein paar Teile weggelassen. Ich habe ihn schon in github angeschrieben, mache es hiermit aber nochmal offiziell: Christian, willst du dich noch um den Rest der Doku zum Subnetting kümmern?
Will das jemand anderes machen? Hier steht wie.
Hi Tobi,
habe mit der Doku zur Netzsegmentation heute begonnen. Rückfrage: Soll denn die Doku bei den drei Segmenten bleiben ? Im Wiki ist die Darstellung komplexer mit mehr VLANs. Ich denke, es ist hilfreich, diese möglichst einfach zu halten.
VG
Chris
Hi Chris.
Also wir haben deutlich mehr als 3 VLANs. Ich habe mich damals zunächst sehr genau an die Anleitung gehalten und zunächst alles 1:1 so umgesetzt, wie es dort stand, bevor ich selbst notwendige Anpassungen vorgenommen habe. Wenn man das Schema einmal begriffen hat, läuft es für alle weiteren VLANs ja analog ab. Von daher meine ich, dass es exemplarisch mit 3 VLANs in der Doku ausreichend ist.
Zwei weitere Vorschläge zur Ergänzung (neben den schon zitierten “Fehlern” (s.o.)):
Es ist sinnvoll, ein Management-VLAN für die Verwaltung der Switches einzurichten. Bei mir ist das 10.16.2.0/24. Zugriff hat nur eine VM, die im gleichen Segment liegt. Dadurch sind die Switches etwas aus der Schusslinie genommen…
Zudem kann man mit aufnehmen, dass alle unbenutzen Ports auf ein Black-Hole-VLAN (z.B. 999) gelegt werden, damit bei fehlerhafter / unbedachter Verkabelung nichts passieren kann, was man nicht will.
ok. Deine Vorschläge zur Ergänzung sehe ich ebenfalls so - ein Management VLAN ist Pflicht ebenso eins für ungenutzte Ports (Alternative: Ports herunterfahren). Ich würde das aber zunächst in der Hauptdoku rauslassen und am Ende der Doku als Hinweis ergänzen, damit es zu Beginn möglichst einfach bleibt, oder ?
