Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerkkonzept mit Dual-WAN und VLAN

Mitglied: Schattenphilosoph

Schattenphilosoph (Level 1) - Jetzt verbinden

13.06.2010, aktualisiert 18.10.2012, 13912 Aufrufe, 3 Kommentare

Hallo,

ich hoffe ich schreibe die Frage an die richtige Stelle, denn dies ist mein erster Eintrag hier. Ich habe ein paar Fragen zu meinem Vorhaben, aber vielleicht kann ja auch der ein oder andere etwas mit dem Konzept anfangen, daher beschreibe ich alles ausführlich.

In einer kleinen Werbeagentur soll ein Netzwerk eingerichtet werden. Alle regulären Rechner stammen von Apple. Das interne Netz soll in verschiedene VLANs aufgeteilt werden um Daten zu schützen und um Gästen problemlosen Internetzugang per LAN oder WLAN bei gleichzeitigem Netzwerkschutz zu ermöglichen. Außerdem soll alles möglichst automatisch ablaufen und manuelle Benutzereingaben auf das Notwendigste beschränkt werden.

Erst einmal ein Plan, leider unbeschriftet, aber mit der Erläuterung sollte es klar werden.

f9e47c0f8ad60618e1576159184f06bf - Klicke auf das Bild, um es zu vergrößern

Erläuterung

Server
Als Server kommt ein Mac Mini Server mit OS X Snow Leopard 10.6 zum Einsatz, der folgende Services (möglichst mit SSL) zur Verfügung stellt:
DHCP, DNS, Zeitserver (NTP), Printserver (CUPS), VPN, Open Directory, RADIUS, Mail mit Kerberos, iCal, Wiki, Adressbuch, iChat, Software Update, Remote Desktop

Telefonie
Die Telefone sollen ohne eigene PBX betrieben werden. Stattdessen melden sich die IP-Telefone beim SIP-Anbieter an welcher dann Telefonanlagen-Funktionalität zur Verfügung stellt. Die Ports an denen die IP-Telefonie hängt bekommen höchste QoS-Priorität und werden VLAN 4 zugeteilt, das nur den Zugang zum Internet/Router ermöglicht.

NAS
Es wird zwei NAS-Systeme vermutlich von Synology geben. NAS 2 (evtl. DS1010+) mit RAID5 oder RAID5+Spare speichert die jeden Abend von den Clients per CCC gestarteten Backups. NAS 1 (evtl. DS710+) ist der eigentlich "Fileserver" und läuft mit RAID 1. Wie die Authentifizierung erfolgt ist noch unklar, aber die beiden NAS sollten automatisch per SMB mit allen Rechnern verbunden werden. NAS 1 und 2 werden anhand der Switch-Ports VLAN 2 und 3 zugewiesen.

WLAN
Der WLAN Access Point mit 802.11b/g/n stellt zwei SSIDs (Multi SSID) zur Verfügung. Im "closed WLAN" erfolgt die Anmeldung mit WPA2-Enterprise über den RADIUS-Server, so dass die regulären Benutzerpasswörter verwendet werden können. Daher kann das "closed WLAN" automatisch VLAN 2 zugeordnet und alle Pakete getagged werden. Das "open WLAN" wird per WPA2 PSK gesichert und automatisch VLAN PVID 1, das nur Zugang zum Internet und anderen Gastrechnern bereitstellt, zugewiesen.
Als Gerät ist der Cisco WAP4410N angedacht.

LAN
Das LAN arbeitet ähnlich wie das WLAN: Stationäre Geräte in unzugänglichen Bereichen wie die beiden NAS und der Server werden Port basiert VLAN 2 (Zugang zu allem, aber keine Verbindung zu Telefonie und "open WLAN") und 3 (keine Verbindung zum Internet, anderen Rechnern und WLAN, aber Zugriff auf Server, NAS und Peripherie) zugeordnet. Peripherie die offen zugänglich ist wie Netzwerkdrucker werden MAC-basiert den VLANs zugeordnet. Die Rechner selbst werden per RADIUS-Server authentifiziert und entsprechend VLAN 2 oder 3 zugeordnet.
Darüber hinaus sollen Drucker und NAS-Systeme vom Internet separiert werden, was über Sonderregeln mit MAC oder IP Based ACL im Switch geschieht.

Router
Um auch wirklich (fast) immer Internetzugang und damit IP-Telefonie sicherzustellen, sollen zwei Internetzugänge (DSL + Kabel) verwendet werden. Dazu kommen vor den Router zwei Modems. PPPoE für DSL übernimmt der Router. Bei Kabel ist das wegen dem Zwang zur Anbieterhardware nicht möglich.
Der Router sollte daher Dual-WAN, QoS 802.1Q, 802.1p und starke Sicherheitsfeatures mitbringen, da er gleichzeitig als zentrale Firewall dient. Daher sind IPS und SPI gern gesehen. Auch VPN, wobei ein Zugang reicht, wäre nett.
Als Gerät evtl. ein Cisco/Linksys RV042 oder etwas von Netgear, Zyxel oder Draytek.

Switch
Als Switch kommt nur ein Gerät mit Gerät mit sehr gutem VLAN-Management in Frage. Geforderte Features sind Gigabit, 802.1x, Link Aggregation 802.3ad, QoS mit 802.1p und VLAN 802.1Q. Halt alles um die oben beschriebenen Funktionen zu ermöglichen.
PoE 802.3af wäre nett um die Telefone und den Access Point mit Strom zu versorgen, muss aber nicht und wird wohl über die Kostenfrage entschieden werden.
Mit PoE dachte ich an Linksys/Cisco SRW2024P oder SGE2000P (dann ist auch sicher das Access Point und Switch sich VLAN-technisch verstehen).

USV
Switch, Server, sowie NAS 1 und 2 hängen an der USV. Der Server wird bei Stromausfall automatisch heruntergefahren, aber fährt vorher noch die beiden NAS per Skript über SSH runter. Außerdem wird eine Meldung über das Netzwerk per Growl versendet, denn es kann ja sein das der Strom nicht komplett ausfällt.
Als USV könnte APC Back-UPS RS 1200VA LCD 230V zum Einsatz kommen.

Archivierung
Die Archivierung erfolgt manuell am Server: Da es nicht so große Datenmengen sind werden diese regelmäßig vom NAS 1 auf DVD gebrannt und gleichzeitig auf Festplatten in einem Wechselrahmen geschrieben. Beides wird dann sicher aufbewahrt und die Daten können auf dem NAS gelöscht werden.

VLAN
Hier eine Liste mit den Mitgliedern der VLANs und der Zuordnungsmethode
VLAN 1: default/PVID, open WLAN (automatisch durch WLAN-Anmeldung), LAN-Teilnehmer ohne Zuweisung oder Authentifizierung
VLAN 2: Router, closed WLAN (automatisch RADIUS authentifiziert), LAN (wenn per RADIUS authentifiziert), Server (Port), NAS 1 (Port), NAS 2 (Port) + ACL Sonderregel: keine Verbindung zwischen Router und NAS 1, NAS 2
VLAN 3: Server (Port), Drucker (Port/MAC), NAS 1 (Port), NAS 2 (Port), Rechner (Port/MAC/RADIUS)
VLAN 4: Router (Port), Telefon (Port/MAC)


Fragen

1. Wo seht ihr Probleme?
2. Verbesserungsvorschläge?
3. RAID5 oder RAID5+Spare für das NAS 2? (ich weiß eigentlich falscher Bereich)
4. Wie erfahre ich (im Vorraus) ob der Router nicht als Switch agiert und getrennte VLANs doch wieder verbindet oder habe ich da einen Denkfehler?
5. Welchen Router empfehlt ihr mir?

Schreibt einfach eure Meinung, Ratschläge und Kritik. Ich bin gespannt!


Vielen Dank schonmal für alle Antworten!

Beste Grüße vom Schattenphilosoph
Mitglied: dog
13.06.2010 um 20:37 Uhr
1. Wo seht ihr Probleme?

Von mehreren VLANs auf einem Client würde ich abraten (auch wenn OS X das nativ kann).
Im Prinzip gibt man sich da nur dem IP-Chaos hin.
Auf der anderen Seite sind Layer 3 Gigabit Switche wieder recht teuer.

Und warum ausgerechnet SMB wenn alle Clients Macs sind?

3. RAID5 oder RAID5+Spare für das NAS 2? (ich weiß eigentlich falscher Bereich)

Wenn du so fragst: RAID6

4. Wie erfahre ich (im Vorraus) ob der Router nicht als Switch agiert und getrennte VLANs doch wieder verbindet oder habe ich da einen Denkfehler?

Ausprobieren
Wenn der Router falsch konfiguriert ist routet er und dann kannst du Rechner aus einem anderen VLAN anpingen.
Ich verstehe die Frage nicht

5. Welchen Router empfehlt ihr mir?

Jeden ab 100€ (und Mikrotik), außer Netgear.

Ich bin gespannt!

Da ist leider wenig Spannung drinne
Das ist ein Standardszenario für dass es nahezu unendlich Möglichkeiten gibt.
Bitte warten ..
Mitglied: Schattenphilosoph
13.06.2010 um 23:04 Uhr
Danke für die schnelle Antwort!

1. Hmmm natürlich könnte ich auch die einfach zu konfigurierenden DMZ-Funktion nutzen die die meisten Router haben, aber das schränkt die Möglichkeiten schon stark ein und der Unterschied zwischen einem L2- und L3-Switch machts da auch nicht mehr viel schlimmer. SMB ist laut Synology schneller, was zumindest bei dem Backup-NAS ausschlaggebend ist. Für das NAS 1 überlege ich AFP zu verwenden. Müsste dann einfach mal den Unterschied testen.

3. Gute Idee! Ist mir gar nicht eingefallen.

4. Bisher hatte ich immer mit kleinen, simplen, integrierten Lösungen also Modem mit Router etc. tun und nicht mit Routern als solche, deshalb bin ich mir da etwas unsicher ;)
Aber ausprobieren ist ein guter Punkt.

5. Gut zu wissen, dass mit Netgear. Die Mikrotik-Sachen kannte ich nicht - muss ich mir mal anschauen, aber es sieht sehr cool und mächtig aus.

Diese unendlich vielen Möglichkeiten können einen in den Wahnsinn treiben, wenn man versucht die beste Option zu finden. ^^
Bitte warten ..
Mitglied: aqui
14.06.2010, aktualisiert 18.10.2012
Keine Angst, dein Konzept ist schon recht gut und es sind wie du oben ja siehst nur kosmetische Kleinigkeiten die man ändern könnte. Statt Router kannst du auch eine Firewall einsetzen die dich einigermaßen sicher macht bei der Kommunikation der VLANs und Gäste VLAN:
https://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Der Mikrotik ist in der Tat sehr mächtig (und zudem sehr preiswert wenns der 750er ist) Er hat alle diese o.a. Funktionen auch schon per se on Board !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Netzwerkkonzept: Datenleitung WAN
gelöst Frage von dafdagLAN, WAN, Wireless8 Kommentare

Hallo zusammen, wir haben eine Zentrale (10Mbit Standleitung) und 2 weitere Standorte (DSL16.000) die zur Zentrale eine VPN Site-to-Site ...

Router & Routing
Dual WAN Router mit oder ohne Modem
Frage von istike2Router & Routing5 Kommentare

Hallo, bezüglich meiner Not (siehe hier) bin ich auf der Suche nach einem Annex A Router. Was ich also ...

LAN, WAN, Wireless
Kaufempfehlung: Dual WAN Router
gelöst Frage von FalkITLAN, WAN, Wireless8 Kommentare

Hi zusammen, ich muss bei einem Kunden zwei Internetanschlüsse so konfigurieren, dass sein Büro beim Ausfall eines Anschlusses online ...

LAN, WAN, Wireless
Dual-Wan Router hinter fritzboxen
Frage von Bene007LAN, WAN, Wireless15 Kommentare

Hallo zusammen, ich habe folgendes vor: Kann das so funktionieren? Bzw. was muss ich ändern um mein Vorhaben zu ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 14 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 20 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...