11
Netzwerk-Planung
Hallo,
ich hab in Sachen Netzwerke leider nur Ahnung von den Grundlagen, deshalb hoffe ich, dass mir hier vielleicht jemand behilflich sein kann.
Es geht um folgende Situation: In einem Gebäude befinden sich ca. 150 PCs verteilt auf 3 Etagen. Die IPs sind relativ durcheinander verteilt, befinden sich aber alle im Bereich 192.168.208.xxx., 192.168.209.xxx, 192.168.210.xxx oder 192.168.211.xxx. Subnetzmaske 255.255.255.0 Dann gibt es noch einen Windows Server 2003, zwei Fileserver, einen Virenserver mehrere Switches und einen Router. Auf den Etagen selber sind dann auch nochmal diverse Switches verteilt, die z.T. auch miteinander gekoppelt sind. Alles in allem relativ unstrukturiert, gerade von den IP´s her und das soll geändert werden. Meine Frage ist, was man bei der Strukturierung eines Netzwerks dieser Größe beachten muss, bzw. hättet ihr Tips für mich wie man das ganze hier planen und nachher auch umsetzen könnte? Also wie die (Sub)Netze verteilt werden könnten, was installiert werden muss und wie nachher alles umgesetzt werden kann. Benutzt wird Windows 2003 Server (Routing,Ras) und dann halt mehrere (Sub)Netze, die Clients haben alle Windows XP Pro.
Ich bin für jeden Tip dankbar und hoffe ihr könnt mir weiterhelfen
ich hab in Sachen Netzwerke leider nur Ahnung von den Grundlagen, deshalb hoffe ich, dass mir hier vielleicht jemand behilflich sein kann.
Es geht um folgende Situation: In einem Gebäude befinden sich ca. 150 PCs verteilt auf 3 Etagen. Die IPs sind relativ durcheinander verteilt, befinden sich aber alle im Bereich 192.168.208.xxx., 192.168.209.xxx, 192.168.210.xxx oder 192.168.211.xxx. Subnetzmaske 255.255.255.0 Dann gibt es noch einen Windows Server 2003, zwei Fileserver, einen Virenserver mehrere Switches und einen Router. Auf den Etagen selber sind dann auch nochmal diverse Switches verteilt, die z.T. auch miteinander gekoppelt sind. Alles in allem relativ unstrukturiert, gerade von den IP´s her und das soll geändert werden. Meine Frage ist, was man bei der Strukturierung eines Netzwerks dieser Größe beachten muss, bzw. hättet ihr Tips für mich wie man das ganze hier planen und nachher auch umsetzen könnte? Also wie die (Sub)Netze verteilt werden könnten, was installiert werden muss und wie nachher alles umgesetzt werden kann. Benutzt wird Windows 2003 Server (Routing,Ras) und dann halt mehrere (Sub)Netze, die Clients haben alle Windows XP Pro.
Ich bin für jeden Tip dankbar und hoffe ihr könnt mir weiterhelfen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 48747
Url: https://administrator.de/contentid/48747
Printed on: April 25, 2024 at 08:04 o'clock
11 Comments
Latest comment
Hi,
ich würde Dir zunächst empfehlen eine möglichst genaue Dokumentation des momentanen
Zustands zu machen. Darin sollte auch die installierte Software und deren Konfiguration
enthalten sein, das macht es bei der Umstellung einfacher, wenn mal was nicht ganz glatt läuft.
Stelle ausserdem fest, warum so viele Subnetze eingerichtet wurden, dass sollte einen Grund
haben (muss aber nicht ...).
Mal eine allgemeine Frage, bist Du der Admin der Firma oder ein externer Dienstleister oder ...?
Wenn Du noch nicht so viel Erfahrung in Sachen Migration/Umstellung hast ist das schon ein
ziemlich grosses Projekt. Ich würde mir eventuell professionelle Hilfe hinzuziehen, da bei so
einer Umstellung einiges schieflaufen kann.
Gruß
cykes
ich würde Dir zunächst empfehlen eine möglichst genaue Dokumentation des momentanen
Zustands zu machen. Darin sollte auch die installierte Software und deren Konfiguration
enthalten sein, das macht es bei der Umstellung einfacher, wenn mal was nicht ganz glatt läuft.
Stelle ausserdem fest, warum so viele Subnetze eingerichtet wurden, dass sollte einen Grund
haben (muss aber nicht ...).
Mal eine allgemeine Frage, bist Du der Admin der Firma oder ein externer Dienstleister oder ...?
Wenn Du noch nicht so viel Erfahrung in Sachen Migration/Umstellung hast ist das schon ein
ziemlich grosses Projekt. Ich würde mir eventuell professionelle Hilfe hinzuziehen, da bei so
einer Umstellung einiges schieflaufen kann.
Gruß
cykes
Man nehme ein Blatt Papier, oder auch mehr, und einige bunte Stifte. Teile das Blatt grob in die Gebiete von dem Gebäude. Oben 3. Stockwerk, rechts das Lager, unten 1.OG usw.
Mit den Farben sortierst du welche Computer an welche Server dürfen oder wer z.B. nur im Internet surfen darf aber nicht an den Server darf. In einem zweiten Schritt malst du mit Pfeilen die Verbindungen. Beispiel: Benutzer an Server, Benutzer surft im Internet, Benutzer holt Emails vom Server. Vergiss nicht das der oder die Server Daten an die Drucker senden und ob der Server ein Backup über das Netzwerk macht.
Im zweiten Anlauf nimmst du folgende Aufteilung. Ein Blatt Papier, quer. 4 waagerechte Striche werden jeweils logisches Netzwerk und entsprechen einer Farbe. Ganz rechts außen platzierst du einen Router (Kreis mit X drin) oder Firewall (Kreis mit Diode) an die deine 4 Netzwerke mit Pfeilen angeschlossen werden. Jetzt kannst du die Pfeile auf der ersten Zeichnung logisch in die Firewall übertragen, also wer darf wo hin.
Für die beiden ersten Zeichnungen brauchst du ca. 1h bis 2h. Eine Nacht darüber schlafen und noch mal die Computer, Server, Drucker, Mitarbeiter Vorort zählen und in Gedanken den Farben zuweisen. Dann diese beiden Zeichnungen erneut erstellen.
Du hast jetzt einen Plan wer wo ist und welche Daten sich von wo nach wo bewegen. Du wirst Fehler finden und Verbesserungen vorschlagen können, mit einem Plan den jeder nicht Netzwerkspezialist versteht. Das ist gut geeignet um vom Chef das notwendige Geld zu bekommen.
Die meisten Chefs finden es toll wenn die bunten Linien und Kästchen sortiert werden. Einen neuen Netzwerkswitch bekommst du nicht wenn du gerne VLANs verwenden möchtest weil das cool ist. Aber einen noch guten Gigabit Switch, der zufällig auch VLAN kann, bekommst du wenn du einen Backupserver im anderen Stockwerk einführst auf den dann Nachts die Daten kopiert werden damit nichts verloren geht.
Gruß Rafiki
Mit den Farben sortierst du welche Computer an welche Server dürfen oder wer z.B. nur im Internet surfen darf aber nicht an den Server darf. In einem zweiten Schritt malst du mit Pfeilen die Verbindungen. Beispiel: Benutzer an Server, Benutzer surft im Internet, Benutzer holt Emails vom Server. Vergiss nicht das der oder die Server Daten an die Drucker senden und ob der Server ein Backup über das Netzwerk macht.
Im zweiten Anlauf nimmst du folgende Aufteilung. Ein Blatt Papier, quer. 4 waagerechte Striche werden jeweils logisches Netzwerk und entsprechen einer Farbe. Ganz rechts außen platzierst du einen Router (Kreis mit X drin) oder Firewall (Kreis mit Diode) an die deine 4 Netzwerke mit Pfeilen angeschlossen werden. Jetzt kannst du die Pfeile auf der ersten Zeichnung logisch in die Firewall übertragen, also wer darf wo hin.
Für die beiden ersten Zeichnungen brauchst du ca. 1h bis 2h. Eine Nacht darüber schlafen und noch mal die Computer, Server, Drucker, Mitarbeiter Vorort zählen und in Gedanken den Farben zuweisen. Dann diese beiden Zeichnungen erneut erstellen.
Du hast jetzt einen Plan wer wo ist und welche Daten sich von wo nach wo bewegen. Du wirst Fehler finden und Verbesserungen vorschlagen können, mit einem Plan den jeder nicht Netzwerkspezialist versteht. Das ist gut geeignet um vom Chef das notwendige Geld zu bekommen.
Die meisten Chefs finden es toll wenn die bunten Linien und Kästchen sortiert werden. Einen neuen Netzwerkswitch bekommst du nicht wenn du gerne VLANs verwenden möchtest weil das cool ist. Aber einen noch guten Gigabit Switch, der zufällig auch VLAN kann, bekommst du wenn du einen Backupserver im anderen Stockwerk einführst auf den dann Nachts die Daten kopiert werden damit nichts verloren geht.
Gruß Rafiki
Vielleicht noch ein paar Grobstrukturen zum Design nachdem du Rafikis Vorschlag von oben umgesetzt hast !
Normalerweise designed man Netze solcher Größenordnung mit einem oder besser 2 Core Systemen (Redundanz) an denen dann sternförmig die Etagenswitches mit jeweils einem Bein an Core 1 und Core 2 angebunden sind (weitere Redundanz). Server werden meist im Core konzentriert, da dort meist höher Anschlussgeschwindigkeiten vorgesehen sind und die Verteilung auf die Etagen homogener ist.
Ob du auf den Core Systemen Layer 3 Switching einsetzt (sinnvoll bei der Vielzahl deiner verschiedenen IP Netze..) und auch parallel ein Hochverfügbarkeitsszenario mit VRRP pro VLAN einsetzt hängt von den Anforderungen ab wie ausfallsicher das Netzwerk sein soll und ob du die verteilete Subnetz Architektur mit VLANs wie sie derzeit wohl existiert weiter betreiben willst. Das ist generell aus Broadcast technischer Sicht nicht falsch ist und das Netzwerk ist besser strukturiert allerdings werden etwas höhere Kosten verursacht (L3 Option im Core).
Wie gesagt erstmal ist Rafikis Schritt wichtig dir über die Struktur im Klaren zu werden, dann gehts an die Hardware....
Normalerweise designed man Netze solcher Größenordnung mit einem oder besser 2 Core Systemen (Redundanz) an denen dann sternförmig die Etagenswitches mit jeweils einem Bein an Core 1 und Core 2 angebunden sind (weitere Redundanz). Server werden meist im Core konzentriert, da dort meist höher Anschlussgeschwindigkeiten vorgesehen sind und die Verteilung auf die Etagen homogener ist.
Ob du auf den Core Systemen Layer 3 Switching einsetzt (sinnvoll bei der Vielzahl deiner verschiedenen IP Netze..) und auch parallel ein Hochverfügbarkeitsszenario mit VRRP pro VLAN einsetzt hängt von den Anforderungen ab wie ausfallsicher das Netzwerk sein soll und ob du die verteilete Subnetz Architektur mit VLANs wie sie derzeit wohl existiert weiter betreiben willst. Das ist generell aus Broadcast technischer Sicht nicht falsch ist und das Netzwerk ist besser strukturiert allerdings werden etwas höhere Kosten verursacht (L3 Option im Core).
Wie gesagt erstmal ist Rafikis Schritt wichtig dir über die Struktur im Klaren zu werden, dann gehts an die Hardware....
Erstmal vielen Dank für eure Hilfe
Soweit wurden jetzt die von euch vorgeschlagenen schritte gemacht, sprich die Struktur für die einzelnen Netze steht und jetzt gehts an die Realisierung... Das ist aber leider das größere Problem, denn von Windows Server 2003 hab ich bislang noch gar keine Ahnung. Ziel ist halt, das die Netze untereinder und mit dem Internet kommunizieren können. Das Routing soll dabei über Windows Server 2003 gemacht werden. Was muss ich denn dabei genau alles installieren (Active directory, dhcp, dns usw.)?
Der Server muss doch eigentlich 3 Netzwerkkarten haben oder? Für jedes Netz eine und dann noch eine fürs Internet oder lieg ich da jetzt komplett falsch. Ich weiss halt leider noch nicht so richtig wo ich anfangen soll
Vielleicht könnt ihr mir ja da auch weiterhelfen oder mir Links geben wo ich mich über das Routing über Windows Server 2003 informieren kann...da hab ich bei meiner Suche bisher leider nicht allzu viel gefunden, was bei meinem Fall helfen könnte...
Schonmal vielen Dank für eure bisherige Hilfe
Soweit wurden jetzt die von euch vorgeschlagenen schritte gemacht, sprich die Struktur für die einzelnen Netze steht und jetzt gehts an die Realisierung... Das ist aber leider das größere Problem, denn von Windows Server 2003 hab ich bislang noch gar keine Ahnung. Ziel ist halt, das die Netze untereinder und mit dem Internet kommunizieren können. Das Routing soll dabei über Windows Server 2003 gemacht werden. Was muss ich denn dabei genau alles installieren (Active directory, dhcp, dns usw.)?
Der Server muss doch eigentlich 3 Netzwerkkarten haben oder? Für jedes Netz eine und dann noch eine fürs Internet oder lieg ich da jetzt komplett falsch. Ich weiss halt leider noch nicht so richtig wo ich anfangen soll
Vielleicht könnt ihr mir ja da auch weiterhelfen oder mir Links geben wo ich mich über das Routing über Windows Server 2003 informieren kann...da hab ich bei meiner Suche bisher leider nicht allzu viel gefunden, was bei meinem Fall helfen könnte...
Schonmal vielen Dank für eure bisherige Hilfe
Ja das wäre richtig. Für jedes VLAN benötigst du eine Karte ! Oder du kannst auch eine Netzkarte nehmen die sog. Trunking supportet. D.h. sie kann VLAN tags nach 802.1q lesen und einen Switch trunk so wieder mit nur einem Link in die VLANs teilen und dazwischen routen. Eine sog. "one armed" Konfiguration ! Dafür benötigst du aber 802.1q fähige Karten für den Server und diese Karte sollte mindestens 1 GiG haben da jeglicher geroutete Traffic ja immer zum Server muss und wieder weg über denselben Link
An dieser oder der anderen Option mit einzelnen Karten kannst du aber schon sehen wie falsch bzw. schlecht diese Lösung ist mit dem Server zu routen !!! Das wird auch in Netzen deiner Größenordnung nie so gemacht !
Problem 1: Stürzt der Server mal ab oder geht offline steht dein gesamtes Netz !
Problem 2: Bei 4 oder mehr NICs im Server routet der fast nur noch ist also mit Packet Forwarding beschäftigt die ganze Zeit. Er soll aber Datei und Druckdiesnte u.a. bereitstellen. Kann also folglich nicht mehr performant als Server arbeiten und geht in die Knie.
Fazit: Routing Lösung über den Server vergessen und ein klein wenig mehr in einen Core Switch investieren und den mit einer Layer 3 Option ausstatten. Dann kann der Switch zwischen den VLANs routen und du hast keinen Engpass mehr.....
An dieser oder der anderen Option mit einzelnen Karten kannst du aber schon sehen wie falsch bzw. schlecht diese Lösung ist mit dem Server zu routen !!! Das wird auch in Netzen deiner Größenordnung nie so gemacht !
Problem 1: Stürzt der Server mal ab oder geht offline steht dein gesamtes Netz !
Problem 2: Bei 4 oder mehr NICs im Server routet der fast nur noch ist also mit Packet Forwarding beschäftigt die ganze Zeit. Er soll aber Datei und Druckdiesnte u.a. bereitstellen. Kann also folglich nicht mehr performant als Server arbeiten und geht in die Knie.
Fazit: Routing Lösung über den Server vergessen und ein klein wenig mehr in einen Core Switch investieren und den mit einer Layer 3 Option ausstatten. Dann kann der Switch zwischen den VLANs routen und du hast keinen Engpass mehr.....
ich muss euch nochmal nerven...
Also im Server befinden sich nun 2 Netzwerkkarten - eine hat die IP 192.168.1.1, die andere 192.168.2.1. - beide sind jetzt mit je einem Rechner verbunden.
Wie kriege ich es jetzt am besten hin, das per DHCP die IPs zugeteilt werden?
Es müssen also IPs an zwei verschiedene Netze verteilt werden, zum Einen 192.168.1.xxx und zum anderen 192.168.2.xxx.
Kann man zwei DHCP-Server installieren, jeweils einen für jede Netzwerkkarte oder gibts da ne andere Möglichkeit?
Also im Server befinden sich nun 2 Netzwerkkarten - eine hat die IP 192.168.1.1, die andere 192.168.2.1. - beide sind jetzt mit je einem Rechner verbunden.
Wie kriege ich es jetzt am besten hin, das per DHCP die IPs zugeteilt werden?
Es müssen also IPs an zwei verschiedene Netze verteilt werden, zum Einen 192.168.1.xxx und zum anderen 192.168.2.xxx.
Kann man zwei DHCP-Server installieren, jeweils einen für jede Netzwerkkarte oder gibts da ne andere Möglichkeit?
Du nervst nicht...dafür ist es ja ein Forum 
Du trägst einfach beim DHCP Setup 2 Bereiche ein deiner beiden IP Netze. Da du 2 Adapter hast musst du ggf. einen DHCP relay Agent aktivieren auf dem Server, da der routet und UDP Bootp Boadcasts (DHCP) ggf. nicht geforwardet werden. Wie das geht steht hier:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/libra ...
bzw. hier:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/libra ...
Da du aber den Server in der "Mitte" hast sollte das eigentlich auch ohne relay Agent funktionieren. Must halt mal testen...
Du trägst einfach beim DHCP Setup 2 Bereiche ein deiner beiden IP Netze. Da du 2 Adapter hast musst du ggf. einen DHCP relay Agent aktivieren auf dem Server, da der routet und UDP Bootp Boadcasts (DHCP) ggf. nicht geforwardet werden. Wie das geht steht hier:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/libra ...
bzw. hier:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/libra ...
Da du aber den Server in der "Mitte" hast sollte das eigentlich auch ohne relay Agent funktionieren. Must halt mal testen...
oh man probleme über probleme....
DHCP geht jetzt..aaaber....
das Routing der beiden Subnetze klappt nicht mehr. Es ging mal und scheinbar wirkt sich DHCP irgendwie auf die Routen aus -kann das sein?
habe mit Routing & RAS unter statische Routen, die Routen für die beiden Subnetze gelegt (die stimmen auch) - aber trotzdem kann das eine Subnetz, das andere nicht anpingen...
hilfeeee...was mach ich falsch?
DNS klappt auch nicht wirklich. Auf dem Server geht es (hab ich mit nslookup getestet) aber auf den Clients (bzw. den Subnetzen nicht)...
ich verzweifel hier langsam
Edit:
Also das Routing funktioniert jetzt wieder - ich hatte vergessen den Clients (bzw. den Netzen) den Gateway mit zu schicken (habe dafür in den Serveroptionen von DHCP "Router" aktiviert und die beiden IPs der Netzwerkkarten eingetragen - damit ging es dann)
Aber.....DNS klappt immer noch nicht.
Wenn ich auf dem Server nslookup ausführe gibt er mir servername und IP, gebe ich dann den Namen oder die IP von einem der Clients an - erscheint immer "server XXX (hier wird die eine der IPs vom Server angegeben) konnte Namen nicht finden - non existent domain"
weiss jemand wo hier der Fehler liegen könnte?
DHCP geht jetzt..aaaber....
das Routing der beiden Subnetze klappt nicht mehr. Es ging mal und scheinbar wirkt sich DHCP irgendwie auf die Routen aus -kann das sein?
habe mit Routing & RAS unter statische Routen, die Routen für die beiden Subnetze gelegt (die stimmen auch) - aber trotzdem kann das eine Subnetz, das andere nicht anpingen...
hilfeeee...was mach ich falsch?
DNS klappt auch nicht wirklich. Auf dem Server geht es (hab ich mit nslookup getestet) aber auf den Clients (bzw. den Subnetzen nicht)...
ich verzweifel hier langsam
Edit:
Also das Routing funktioniert jetzt wieder - ich hatte vergessen den Clients (bzw. den Netzen) den Gateway mit zu schicken (habe dafür in den Serveroptionen von DHCP "Router" aktiviert und die beiden IPs der Netzwerkkarten eingetragen - damit ging es dann)
Aber.....DNS klappt immer noch nicht.
Wenn ich auf dem Server nslookup ausführe gibt er mir servername und IP, gebe ich dann den Namen oder die IP von einem der Clients an - erscheint immer "server XXX (hier wird die eine der IPs vom Server angegeben) konnte Namen nicht finden - non existent domain"
weiss jemand wo hier der Fehler liegen könnte?
Als DNS Server müsste ja eigentlich eine Server IP oder die IP des jeweilgen Segments auf den Clients konfiguriert sein bzw. per DHCP übergeben werden. Das solltest du nochmal mit "ipconfig -all" in den Clients (Eingabeaufforderung) püfen.
Der Server sollte ja eigentlich DNS Server und/oder DNS Proxy sein. Ansonsten muss hier die IP rein für den Server der zentrale DNS Dienste vorhält..
Der Server sollte ja eigentlich DNS Server und/oder DNS Proxy sein. Ansonsten muss hier die IP rein für den Server der zentrale DNS Dienste vorhält..
gibts vielleicht irgendwo im Netz eine Anleitung, wie man beim Windows server 2003 einen Internetzugang (per Routing und Ras) zustande kriegt?
Ich hab beim installieren eine Schnittstelle für Wählen bei Bedarf angelegt, aber komm jetzt nicht weiter. Muss ich eine normale Verbindung herstellen in dem ich in der Netzwerkumgebung eine neue Verbindung anlege (quasi wie bei XP) oder wie funktioniert das hier?
Die einzelnen Netze sollen halt über den Server ins Internet kommen, aber es klappt einfach nicht...
Ich hab beim installieren eine Schnittstelle für Wählen bei Bedarf angelegt, aber komm jetzt nicht weiter. Muss ich eine normale Verbindung herstellen in dem ich in der Netzwerkumgebung eine neue Verbindung anlege (quasi wie bei XP) oder wie funktioniert das hier?
Die einzelnen Netze sollen halt über den Server ins Internet kommen, aber es klappt einfach nicht...
Aus Sicherheitsgründen kann man nur dringend davon abraten einen MS Server direkt ins Internet zu hängen !!! Der Aufwand den du treiben musst um das System immer sicherheitstechnisch "dicht" zu machen steht in keinen Verhältnis in der Anschaffung eines kleinen Routers für ein handvoll Euro.
Damit hast du Sicherheit und auch ein problemloses Herstellen der Internetverbindung aus einer Hand !
Damit hast du Sicherheit und auch ein problemloses Herstellen der Internetverbindung aus einer Hand !
