4
Netzwerk Planung: Segmentierung und Standorte der Geräte
Können ihr mal mit drüber schauen und mir sagen was davon in Ordnung ist und was ihr evtl. noch verbessern würdet?
Drucker z.b. würdet ihr die dort lassen oder besser auch mit ins "Server-Netz" packen?
Multi SSID Access Points kommen wahrscheinlich auch am besten in die DMZ?
Ich freue mich jedenfalls über Vorschläge und Hilfe von euch
Merci!
Drucker z.b. würdet ihr die dort lassen oder besser auch mit ins "Server-Netz" packen?
Multi SSID Access Points kommen wahrscheinlich auch am besten in die DMZ?
Ich freue mich jedenfalls über Vorschläge und Hilfe von euch
Merci!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 208875
Url: https://administrator.de/contentid/208875
Printed on: April 25, 2024 at 15:04 o'clock
4 Comments
Latest comment
Hi, definiere was bei dir "in Ordnung" heißt. Du hast zwar eine nette Grafik, aber ohne Infos was du eigentlich erreichen willst, kann man dir da keine Tips geben.
shjiin hat schon richtig angemerkt das ich euch vielleicht über die Ziele aufklären sollte 
Dazu am besten mal unsere bisherige struktur:
Ziel ist es am Ende ein skalierbar segmentiertes Netzwerk zu haben.
Das ganze ist auf etwa 100Mitarbeiter ausgelegt
Die Access Points sollen 1. ein Gastnetzwerk bzw. Private Geräte mit Internet versorgen und 2. Ein Arbeitsrechnernetzwerk (192.168.200.0/24) mit Radius Authentifizierung
Der Rest ergibts sich denke ich aus der beschreibung
Serverseitig gespeicherter Profile, active Directory und co als interne Dienste.
Was kommt in die DMZ?
Wohin am besten die Drucker?
Ist es möglich alle Drucker an einen Printserver zu hängen so das man nur noch den Printserver mit den Arbeitsplatz clients verheiraten muss statt jeden einzeln hinzuzufügen?
Dazu am besten mal unsere bisherige struktur:
Ziel ist es am Ende ein skalierbar segmentiertes Netzwerk zu haben.
Das ganze ist auf etwa 100Mitarbeiter ausgelegt
Die Access Points sollen 1. ein Gastnetzwerk bzw. Private Geräte mit Internet versorgen und 2. Ein Arbeitsrechnernetzwerk (192.168.200.0/24) mit Radius Authentifizierung
Der Rest ergibts sich denke ich aus der beschreibung
Serverseitig gespeicherter Profile, active Directory und co als interne Dienste.
Was kommt in die DMZ?
Wohin am besten die Drucker?
Ist es möglich alle Drucker an einen Printserver zu hängen so das man nur noch den Printserver mit den Arbeitsplatz clients verheiraten muss statt jeden einzeln hinzuzufügen?
Dafür ist die o.a. Segmentierung der richtige Schritt indem du Client und Server Netz trennst und auch das WLAN abtrennst.
Zudem solltest du die WAN Verbindung auch in ein separates VLAN legen und NICHT den Internet Router direkt ins Produktiv VLAN bringen !
Damit hast du dann eine wasserdichte und skalierbare Grundkonfiguration !
Die WLANs sollten dann mit Multi SSID APs konfiguriert werden wo du dann für die verschlüsselten lokalen WLANs ein VLAN verwendest ebenso für das Gast Netzwerk mit Hotspot und Voucher dann auch ein separates VLAN.
Diese VLANs werden dann mit IP ACLs wasserdicht getrennt von den Produktivnetzen. Für das interne verschlüsselte WLAN lässt man dann mit ACL die Zugriffe ins Produktivnetz zu die du erlauben willst.
Da der Internet Zugang sowohl für das Gast WLAN als auch das interne über das separate VLAN rennt taucht dieser Traffic dann auch dort nicht auf !
Das ist der tiefere Sinn das mit einem separaten VLAN zu trennen !
Wie man das praxistauglich realisiert erklärt die dieses Forums Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw. in einem VLAN Umfeld hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
im Kapitel "Praxisbeispiel"
Zudem solltest du die WAN Verbindung auch in ein separates VLAN legen und NICHT den Internet Router direkt ins Produktiv VLAN bringen !
Damit hast du dann eine wasserdichte und skalierbare Grundkonfiguration !
Die WLANs sollten dann mit Multi SSID APs konfiguriert werden wo du dann für die verschlüsselten lokalen WLANs ein VLAN verwendest ebenso für das Gast Netzwerk mit Hotspot und Voucher dann auch ein separates VLAN.
Diese VLANs werden dann mit IP ACLs wasserdicht getrennt von den Produktivnetzen. Für das interne verschlüsselte WLAN lässt man dann mit ACL die Zugriffe ins Produktivnetz zu die du erlauben willst.
Da der Internet Zugang sowohl für das Gast WLAN als auch das interne über das separate VLAN rennt taucht dieser Traffic dann auch dort nicht auf !
Das ist der tiefere Sinn das mit einem separaten VLAN zu trennen !
Wie man das praxistauglich realisiert erklärt die dieses Forums Tutorial:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw. in einem VLAN Umfeld hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
im Kapitel "Praxisbeispiel"
1
Wenn ich genug Ports an der Firewall frei habe, muss ich dann vlans nehmen? Was ist mit ACL gemeint? macht es sinn die drucker in die jeweiligen client netze zu setzen oder besser doch in ein separates?
in den tutorials ist von layer 2 switchen die rede, mir stehen allerdings L3 Switche zu verfügung, was ändert sich da bei den tutorials?
in den tutorials ist von layer 2 switchen die rede, mir stehen allerdings L3 Switche zu verfügung, was ändert sich da bei den tutorials?
