schattenphilosoph
Goto Top

Netzwerkkonzept mit Dual-WAN und VLAN

Hallo,

ich hoffe ich schreibe die Frage an die richtige Stelle, denn dies ist mein erster Eintrag hier. Ich habe ein paar Fragen zu meinem Vorhaben, aber vielleicht kann ja auch der ein oder andere etwas mit dem Konzept anfangen, daher beschreibe ich alles ausführlich.

In einer kleinen Werbeagentur soll ein Netzwerk eingerichtet werden. Alle regulären Rechner stammen von Apple. Das interne Netz soll in verschiedene VLANs aufgeteilt werden um Daten zu schützen und um Gästen problemlosen Internetzugang per LAN oder WLAN bei gleichzeitigem Netzwerkschutz zu ermöglichen. Außerdem soll alles möglichst automatisch ablaufen und manuelle Benutzereingaben auf das Notwendigste beschränkt werden.

Erst einmal ein Plan, leider unbeschriftet, aber mit der Erläuterung sollte es klar werden.

f9e47c0f8ad60618e1576159184f06bf

Erläuterung

Server
Als Server kommt ein Mac Mini Server mit OS X Snow Leopard 10.6 zum Einsatz, der folgende Services (möglichst mit SSL) zur Verfügung stellt:
DHCP, DNS, Zeitserver (NTP), Printserver (CUPS), VPN, Open Directory, RADIUS, Mail mit Kerberos, iCal, Wiki, Adressbuch, iChat, Software Update, Remote Desktop

Telefonie
Die Telefone sollen ohne eigene PBX betrieben werden. Stattdessen melden sich die IP-Telefone beim SIP-Anbieter an welcher dann Telefonanlagen-Funktionalität zur Verfügung stellt. Die Ports an denen die IP-Telefonie hängt bekommen höchste QoS-Priorität und werden VLAN 4 zugeteilt, das nur den Zugang zum Internet/Router ermöglicht.

NAS
Es wird zwei NAS-Systeme vermutlich von Synology geben. NAS 2 (evtl. DS1010+) mit RAID5 oder RAID5+Spare speichert die jeden Abend von den Clients per CCC gestarteten Backups. NAS 1 (evtl. DS710+) ist der eigentlich "Fileserver" und läuft mit RAID 1. Wie die Authentifizierung erfolgt ist noch unklar, aber die beiden NAS sollten automatisch per SMB mit allen Rechnern verbunden werden. NAS 1 und 2 werden anhand der Switch-Ports VLAN 2 und 3 zugewiesen.

WLAN
Der WLAN Access Point mit 802.11b/g/n stellt zwei SSIDs (Multi SSID) zur Verfügung. Im "closed WLAN" erfolgt die Anmeldung mit WPA2-Enterprise über den RADIUS-Server, so dass die regulären Benutzerpasswörter verwendet werden können. Daher kann das "closed WLAN" automatisch VLAN 2 zugeordnet und alle Pakete getagged werden. Das "open WLAN" wird per WPA2 PSK gesichert und automatisch VLAN PVID 1, das nur Zugang zum Internet und anderen Gastrechnern bereitstellt, zugewiesen.
Als Gerät ist der Cisco WAP4410N angedacht.

LAN
Das LAN arbeitet ähnlich wie das WLAN: Stationäre Geräte in unzugänglichen Bereichen wie die beiden NAS und der Server werden Port basiert VLAN 2 (Zugang zu allem, aber keine Verbindung zu Telefonie und "open WLAN") und 3 (keine Verbindung zum Internet, anderen Rechnern und WLAN, aber Zugriff auf Server, NAS und Peripherie) zugeordnet. Peripherie die offen zugänglich ist wie Netzwerkdrucker werden MAC-basiert den VLANs zugeordnet. Die Rechner selbst werden per RADIUS-Server authentifiziert und entsprechend VLAN 2 oder 3 zugeordnet.
Darüber hinaus sollen Drucker und NAS-Systeme vom Internet separiert werden, was über Sonderregeln mit MAC oder IP Based ACL im Switch geschieht.

Router
Um auch wirklich (fast) immer Internetzugang und damit IP-Telefonie sicherzustellen, sollen zwei Internetzugänge (DSL + Kabel) verwendet werden. Dazu kommen vor den Router zwei Modems. PPPoE für DSL übernimmt der Router. Bei Kabel ist das wegen dem Zwang zur Anbieterhardware nicht möglich.
Der Router sollte daher Dual-WAN, QoS 802.1Q, 802.1p und starke Sicherheitsfeatures mitbringen, da er gleichzeitig als zentrale Firewall dient. Daher sind IPS und SPI gern gesehen. Auch VPN, wobei ein Zugang reicht, wäre nett.
Als Gerät evtl. ein Cisco/Linksys RV042 oder etwas von Netgear, Zyxel oder Draytek.

Switch
Als Switch kommt nur ein Gerät mit Gerät mit sehr gutem VLAN-Management in Frage. Geforderte Features sind Gigabit, 802.1x, Link Aggregation 802.3ad, QoS mit 802.1p und VLAN 802.1Q. Halt alles um die oben beschriebenen Funktionen zu ermöglichen.
PoE 802.3af wäre nett um die Telefone und den Access Point mit Strom zu versorgen, muss aber nicht und wird wohl über die Kostenfrage entschieden werden.
Mit PoE dachte ich an Linksys/Cisco SRW2024P oder SGE2000P (dann ist auch sicher das Access Point und Switch sich VLAN-technisch verstehen).

USV
Switch, Server, sowie NAS 1 und 2 hängen an der USV. Der Server wird bei Stromausfall automatisch heruntergefahren, aber fährt vorher noch die beiden NAS per Skript über SSH runter. Außerdem wird eine Meldung über das Netzwerk per Growl versendet, denn es kann ja sein das der Strom nicht komplett ausfällt.
Als USV könnte APC Back-UPS RS 1200VA LCD 230V zum Einsatz kommen.

Archivierung
Die Archivierung erfolgt manuell am Server: Da es nicht so große Datenmengen sind werden diese regelmäßig vom NAS 1 auf DVD gebrannt und gleichzeitig auf Festplatten in einem Wechselrahmen geschrieben. Beides wird dann sicher aufbewahrt und die Daten können auf dem NAS gelöscht werden.

VLAN
Hier eine Liste mit den Mitgliedern der VLANs und der Zuordnungsmethode
VLAN 1: default/PVID, open WLAN (automatisch durch WLAN-Anmeldung), LAN-Teilnehmer ohne Zuweisung oder Authentifizierung
VLAN 2: Router, closed WLAN (automatisch RADIUS authentifiziert), LAN (wenn per RADIUS authentifiziert), Server (Port), NAS 1 (Port), NAS 2 (Port) + ACL Sonderregel: keine Verbindung zwischen Router und NAS 1, NAS 2
VLAN 3: Server (Port), Drucker (Port/MAC), NAS 1 (Port), NAS 2 (Port), Rechner (Port/MAC/RADIUS)
VLAN 4: Router (Port), Telefon (Port/MAC)


Fragen

1. Wo seht ihr Probleme?
2. Verbesserungsvorschläge?
3. RAID5 oder RAID5+Spare für das NAS 2? (ich weiß eigentlich falscher Bereich)
4. Wie erfahre ich (im Vorraus) ob der Router nicht als Switch agiert und getrennte VLANs doch wieder verbindet oder habe ich da einen Denkfehler?
5. Welchen Router empfehlt ihr mir?

Schreibt einfach eure Meinung, Ratschläge und Kritik. Ich bin gespannt!


Vielen Dank schonmal für alle Antworten!

Beste Grüße vom Schattenphilosoph

Content-Key: 144740

Url: https://administrator.de/contentid/144740

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: dog
dog 13.06.2010 um 20:37:15 Uhr
Goto Top
1. Wo seht ihr Probleme?

Von mehreren VLANs auf einem Client würde ich abraten (auch wenn OS X das nativ kann).
Im Prinzip gibt man sich da nur dem IP-Chaos hin.
Auf der anderen Seite sind Layer 3 Gigabit Switche wieder recht teuer.

Und warum ausgerechnet SMB wenn alle Clients Macs sind?

3. RAID5 oder RAID5+Spare für das NAS 2? (ich weiß eigentlich falscher Bereich)

Wenn du so fragst: RAID6

4. Wie erfahre ich (im Vorraus) ob der Router nicht als Switch agiert und getrennte VLANs doch wieder verbindet oder habe ich da einen Denkfehler?

Ausprobieren face-wink
Wenn der Router falsch konfiguriert ist routet er und dann kannst du Rechner aus einem anderen VLAN anpingen.
Ich verstehe die Frage nicht

5. Welchen Router empfehlt ihr mir?

Jeden ab 100€ (und Mikrotik), außer Netgear.

Ich bin gespannt!

Da ist leider wenig Spannung drinne face-smile
Das ist ein Standardszenario für dass es nahezu unendlich Möglichkeiten gibt.
Mitglied: Schattenphilosoph
Schattenphilosoph 13.06.2010 um 23:04:00 Uhr
Goto Top
Danke für die schnelle Antwort!

1. Hmmm natürlich könnte ich auch die einfach zu konfigurierenden DMZ-Funktion nutzen die die meisten Router haben, aber das schränkt die Möglichkeiten schon stark ein und der Unterschied zwischen einem L2- und L3-Switch machts da auch nicht mehr viel schlimmer. SMB ist laut Synology schneller, was zumindest bei dem Backup-NAS ausschlaggebend ist. Für das NAS 1 überlege ich AFP zu verwenden. Müsste dann einfach mal den Unterschied testen.

3. Gute Idee! Ist mir gar nicht eingefallen.

4. Bisher hatte ich immer mit kleinen, simplen, integrierten Lösungen also Modem mit Router etc. tun und nicht mit Routern als solche, deshalb bin ich mir da etwas unsicher ;)
Aber ausprobieren ist ein guter Punkt.

5. Gut zu wissen, dass mit Netgear. Die Mikrotik-Sachen kannte ich nicht - muss ich mir mal anschauen, aber es sieht sehr cool und mächtig aus.

Diese unendlich vielen Möglichkeiten können einen in den Wahnsinn treiben, wenn man versucht die beste Option zu finden. ^^
Mitglied: aqui
aqui 14.06.2010, aktualisiert am 18.10.2012 um 18:42:31 Uhr
Goto Top
Keine Angst, dein Konzept ist schon recht gut und es sind wie du oben ja siehst nur kosmetische Kleinigkeiten die man ändern könnte. Statt Router kannst du auch eine Firewall einsetzen die dich einigermaßen sicher macht bei der Kommunikation der VLANs und Gäste VLAN:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Der Mikrotik ist in der Tat sehr mächtig (und zudem sehr preiswert wenns der 750er ist) Er hat alle diese o.a. Funktionen auch schon per se on Board !