Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Netzwerk Gebäudeübergreifend strukturieren

Frage Netzwerke Router & Routing

Mitglied: Pannas

Pannas (Level 1) - Jetzt verbinden

16.11.2013, aktualisiert 19:35 Uhr, 2545 Aufrufe, 18 Kommentare

Hallo zusammen,

nachfolgend die Ausgangssituation als Netzwerkdiagramm: 9dffb2c0ae2f61040025d17e3dcdddcf - Klicke auf das Bild, um es zu vergrößern

Gewünscht ist nun ein weiteres Productions-Subnetz, dass zur Betriebs- und Maschinendatenerfassung dienen soll. Der Server soll vom Office sowie vom Productionsnetzwerk erreichbar sein. Die Clients untereinander (Office <-> Production) sollen NICHT kommunizieren können. Die Clients aus den beiden Productionsnetzwerken jedoch schon! Gedacht war das ganze über Multihoming mit zwei NICs im Server, eine im Office-Netz und eine im Productionsnetz. Das Problem ist nun das Gebäudeübergreifend zu lösen, Multihoming fällt also flach. Hier habe ich mir den Einsatz von Firewalls vorgestellt, die die Kommunikation auf den Server beschränken: aa7ab83eb42ebd4aff849868452c8e1e - Klicke auf das Bild, um es zu vergrößern Zufriedenstellen tut mich die Lösung aber nicht. :-S Der Core-Switch ist der einzige VLAN-Fähige Switch. Die Netzwerke sollen jedoch Hardwaretechnisch unabhängig voneinander administrierbar sein, da dies durch unterschiedliche Personen erfolgt. Daher ist eine reine VLAN-Lösung mit Komponenten die für beide Netzwerke zuständig sind so nicht gewünscht.

Hat jemand von euch eine Idee wie das ganze geschickter gelöst werden kann? Mir fällt leider keine andere Kostengünstige Lösung ein, ausser ein zweites Kabel zum Gebäude2 zu ziehen.

Freue mich auf Antworten.

Mitglied: Lochkartenstanzer
16.11.2013 um 19:24 Uhr
Moin,

Was spricht dagegen, die beiden Produktionsnetze direkt miteinander zu verbinden.

lks

PS: Man kann hier auch Bilder in den beitrag einfügebn. Da muß man dann nciht auf irgendwelche zweifelhafte Seiten.
Bitte warten ..
Mitglied: Pannas
16.11.2013 um 19:40 Uhr
Hallo Lochkartenstanzer,

Zitat von Lochkartenstanzer:

PS: Man kann hier auch Bilder in den beitrag einfügebn. Da muß man dann nciht auf irgendwelche zweifelhafte Seiten.
Gar nicht gesehen, dass das hier möglich ist. Hab den Beitrag aktualisiert.

Zitat von Lochkartenstanzer:

Was spricht dagegen, die beiden Produktionsnetze direkt miteinander zu verbinden.
Meinst du die beiden Productionsnetzwerke oder Production und Office? Wenn du die Productionsnetzwerke meinst, ist das Problem, dass wir keine zweite Leitung ziehen möchten wenn nicht notwendig (aus Kostengründen) und das Gebäude ebenfalls am Office-Netz hängt.
Bitte warten ..
Mitglied: Lochkartenstanzer
16.11.2013, aktualisiert um 19:49 Uhr
Zitat von Pannas:

Wenn du die Productionsnetzwerke meinst, ist das Problem,
dass wir keine zweite Leitung ziehen möchten wenn nicht notwendig (aus Kostengründen) und das Gebäude ebenfalls am
Office-Netz hängt.

Ihr habe nur eine Leitung? Was macht Ihr, wenn da mal eine Maus dran knabbert? Normalerweise legt man da mindestens zwei Leitungen zwecks Ausfallsicherheit, wenn man so etwas plant

Aber Du könntest auch eine "virtuelle" Leitung zwischen den Production-Netzen legen per VPN. Ob IPSEC oderSSL ist vermutlich unerheblich. Sofern Du ordentliche Firewall zwischen den jeweiligen Produktiv- und Office-Netzen hast, solle das eine Sache von Minuten sein.

lks
Bitte warten ..
Mitglied: Pannas
16.11.2013 um 20:05 Uhr
Zitat von Lochkartenstanzer:

Ihr habe nur eine Leitung? Was macht Ihr, wenn da mal eine Maus dran knabbert? Normalerweise legt man da mindestens zwei Leitungen
zwecks Ausfallsicherheit, wenn man so etwas plant
Korrekt. Ist auch schon passiert. Auf Redundanz wird kein Wert gelegt. Das Netzwerk ist generell etwas unstrukturiert.

Aber Du könntest auch eine "virtuelle" Leitung zwischen den Production-Netzen legen per VPN. Ob IPSEC oderSSL ist
vermutlich unerheblich. Sofern Du ordentliche Firewall zwischen den jeweiligen Produktiv- und Office-Netzen hast, solle das eine
Sache von Minuten sein.
Ändert aber nichts an meiner momentanen Planung und der Erweiterung um Router und Firewall (die eigentlich nur ein paar Host Regeln braucht), welchen Vorteil siehst du nun durch das VPN?
Bitte warten ..
Mitglied: aqui
16.11.2013, aktualisiert um 20:20 Uhr
Ein klassisches Switch Design sähe so aus:

e2b75ce5cbdc8294c56f44c74324ad0d-switchnetz - Klicke auf das Bild, um es zu vergrößern

Wobei das Stacking der 2 Core Switches (idealerweise L3 Switches) auch 2 separates im HA Design sein können. Letzteres wird aber heute zunehmend durch sog. "horizontal stacking" ersetzt, da es erhebliche technische Vorteile gegenüber 2 separaten Core Switches hat.
Damit hättest du dann ein HA Szenario und eine vollständige Redundanz wie es für Firmennetz heutzutage durchweg üblich ist. Wenn du nur ein einziges Faserpaar oder Cu Leitung für die Gebäudeanbindung hast wird daraus natürlich nichts. Die generelle Frage ist dann ob du das nachrüsten kannst oder nicht.
Wenn nicht muss man, sofern Redundanz überhaupt erwünscht und erforderlich ist, dann andere Techniken nutzen die oben schon angesprochen sind um ein Minimalmaß an Redundanz zu bekommen.
Wie gesagt…nur sofern das überhaupt gewünscht und erforderlich ist.
Bitte warten ..
Mitglied: Pannas
16.11.2013, aktualisiert um 20:45 Uhr
Hallo ihr beiden,

danke auch dir für deine Antwort aqui. Ich glaube ich habe mich missverständlich ausgedrückt. Es geht nicht darum, das Netzwerk nachträglich um die Redundanz zu erweitern. Sondern um ein Produktionssubnetz (getrennte Broadcast-Domäne und kein Zugriff auf Firmennetz durch Clients) Gebäudeübergreifend (LWL) zu erweitern (siehe oben) ohne, dass für das einfache Szenario extra 2 teure Hardware-Firewalls notwendig sind. Vielleicht über ein geschickteres Routing oder so.

Ich hoffe, dass meine Frage nun klarer Verständlich ist.
Bitte warten ..
Mitglied: aqui
16.11.2013, aktualisiert um 20:53 Uhr
Ahhh…ok, sorry. Gut, das ist bei deinem bestehenden Design ja dann recht einfach !
Du hast ja, so wie es nach deiner Zeichnung oben aussieht, ein L3 Switch (Routing Switch) im Gebäude 1 in Betrieb, da du ja von da auf verschiedene IP Segmente segmentierst.
Was du dann machst ist schlicht und einfach auf dem L3 Switch ein weiteres VLAN zu erzeugen und das neue Produktionsnetz da in das VLAN anzuhängen. Fertig ist der Lack…
Für das Blocking zum Firmennetz setzt du auf dem L3 Switch dann ganz einfach eine L3 IP Accessliste auf am Switchport.
Eine Sache von 3 Minuten und dann sollte das laufen. Ein simpler Netzwerk Klassiker…
Falls du mehr Trennung als eine simple IP Accessliste benötigst, kommst du um eine kleine Firewall nicht drumrum wie z.B. diese hier:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Bitte warten ..
Mitglied: Pannas
16.11.2013, aktualisiert 17.11.2013
Hallo aqui,

Fast! Aber nah dran. Ich beschreibe es dir am besten noch einmal:

Ausgangssituation:
Der eingezeichnete Router in Gebäude1 ist ein Router/Modem für den ADSL Anschluss. Auf dem Switch erfolgt keine Segmentierung die 192.168.1.0/24 gelten für beide Gebäude. Die LWL wird nach dem Medienkonverter direkt von Switch zu Switch geschliffen. Der Switch ist allerdings wirklich, wenn auch der einzige, L3 Switch. Daher sehe ich hier keine Möglichkeit für VLans. Der Austausch der anderen Switche gegen L3-Switche möchte ich nicht, da die Hardware unabhängig voneinander sein soll (siehe oben Ausführungen unterschiedliche Personen).

Erweiterung der Produktion:
Nun soll noch ein Produktionsnetzwerk dazu kommen (192.168.1.1/24), der Server soll von beiden Netzwerken aus erreichbar sein (Produktion und Office) ein direkt Zugriff Office<->Produktion soll nicht erfolgen. Hierzu wollte ich auch die Firewalls die den Zugriff einschränken. Ein Zugriff zwischen Produktion<->Produktion sollte möglich sein.

Die Strippe zwischen den beiden Gebäuden wird/soll für beide Netze genutzt.

Ich hoffe, nun ist es verständlich. Sonst einfach fragen.
Bitte warten ..
Mitglied: MrNetman
17.11.2013, aktualisiert 18.11.2013
Nach deiner Zeichnugn hast du mehr als einen Router oder L3 Switch.
Wenn du den Dingen/Geräten Namen gibst, wie SW11 (Gebäude1) oder SW21 (Gebäude2), dann kann man sich schon mal was vorstellen.
Aber selbst mit managebaren L2 Switchen solltest du deine Anforderugen umsetzen können. Dann reicht auch ein L3 Switch und ein Internetrouter. Und für die Zugriffskontrolle hast du Firewalls und den L3-Switch.

Momentan und nach deinen Beschreibungen sieht es so aus, als ob du drei IP-Segmente in ein und dem selben Subnetz betreibst.
Die Netzwerke sollen jedoch Hardwaretechnisch unabhängig voneinander administrierbar sein, da dies durch unterschiedliche Personen erfolgt.
Der Satz macht mich stutzig.

Entweder gehören die zusammen oder nicht.
Aber es gibt Hardware, der kann man eingeschränkte Administrationsrechte geben. Damit können unterschiedliche Personen unterschiedliche Dinge erledigen ohne das Gesamtnetz zu blockieren. Für so was braucht man natürlich auch die HW-Infos und deren Firmwarestände.

Gruß
Netman
Bitte warten ..
Mitglied: Lochkartenstanzer
17.11.2013, aktualisiert um 13:08 Uhr
Moin,

laß mich das mal in meine Worte fassen, vielleicht reden wir dann vom selben Netzwerk:

  • Du hast ein gebäudeübergreifendes Netz für das Office 192.168.1.0/24
  • Du hast das linke Produktionsnetz 192.168.2.0/24, das üeb eine Firewall an 192.168.1.0/24 hängt
  • Du hast das rechte Produktionsnetz 192.168.3.0/24, daß auch über eine eigene Firewall an 192.168.1.0/24 allerdings im anderen gebäude hängt.

Ist das so korrekt?

Wenn ja:

  • Dann ist die Zeichnung mßverständlich
  • Du vernindest einfach die beiden Firewall per VPN und regelst durch einer dieser beiden, wwer wohin zugreifen darf.
  • die andere Firewall letet den traffic einfach nur zur anderen weiter.

Wenn nein:

Dann erläutere mal die einzelnen switche und Firewalls in den jeweiligen Produktionsnetzen. (bezeichnungenund Netze hinschreiben).

lks
Bitte warten ..
Mitglied: Pannas
17.11.2013, aktualisiert um 13:47 Uhr
Hallo MrNetman und Lochkartenstanzer,

Zitat von MrNetman:

Nach deiner Zeichnugn hast du mehr als einen Router oder L3 Switch.
Das was du beschreibst ist meine Vorstellung. Auf dem 1 „Diagramm“ siehst du nur den (L3)Switch, Hub und die Modem/Router Kombination fürs Internet.

Allerdings sehe ich gerade, dass die beiden Grafiken vertauscht sind. Stell sie dir umgekehrt vor, vllt. hilft das zum Verständnis.

Zitat von MrNetman:

Aber selbst mit managebaren L2 Switchen solltest du deine Anforderungen umsetzen können. Dann reicht auch ein L3 Switch und
ein Internetrouter. Und für die Zugriffskontrolle hast du Firewalls und den L3-Switch.
Das ist der Punkt. Leider sind die anderen Switche alle unmanaged und für das VLAN müsste doch zumindest der Haupt-Switch in Gebäude2 managed sein um von dort aus noch mal die VLANs auf die Ports/unmanaged Switchs zu verteilen.

Zitat von MrNetman:

Entweder gehören die zusammen oder nicht.
Aber es gibt Hardware, der kann man eingeschränkte Administraionsrechte geben. Damit können untershciedliche Personen
unterhsciedliche dinge erledigen ohen das Gesamtnetz zu blockieren. Für so was brasucht man natürlich auch die HW-Infos
und deren Firmwarestände.
Bei dem vorgestellten Aufbau ist das Firmennetz unabhängig konfigurierbar von dem Produktionsnetz. Das meine ich damit.

Zitat von Lochkartenstanzer:

  • Du hast ein gebäudeübergreifendes Netz für das Office 192.168.1.0/24
  • Du hast das linke Produktionsnetz 192.168.2.0/24, das üeb eine Firewall an 192.168.1.0/24 hängt
  • Du hast das rechte Produktionsnetz 192.168.3.0/24, daß auch über eine eigene Firewall an 192.168.1.0/24 allerdings im
anderen gebäude hängt.

Ist das so korrekt?
Das ist absolut korrekt. So habe ich es gemeint!

Zitat von Lochkartenstanzer:
  • Du vernindest einfach die beiden Firewall per VPN und regelst durch einer dieser beiden, wwer wohin zugreifen darf.
  • die andere Firewall letet den traffic einfach nur zur anderen weiter.
Das mindert zwar den Administrations nicht aber den Hardware-Aufwand. Die HW-Firewalls/Router sind leider nicht so günstig und das Budget nicht so groß. Hinzu kämen ja auch noch mindestens die Switche.
Bitte warten ..
Mitglied: Lochkartenstanzer
17.11.2013, aktualisiert 18.11.2013
Zitat von Pannas:

Das mindert zwar den Administrations nicht aber den Hardware-Aufwand. Die HW-Firewalls/Router sind leider nicht so günstig
und das Budget nicht so groß. Hinzu kämen ja auch noch mindestens die Switche.

Dem Menschen kann abgeholfen werden:

Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät

Bei den switchen sparen lohnt nicht.

lks

Nachtrag:

Man köntne die Firewalls sogar so konfigueiren, daß nur die Kommunikation zwischen den Produktivnetzen üebr das VPn geht udn ansonsten über identische Regeln auf beiden die Kommunikation zu dem Büronetz und ins Internet regeln. Damit würde man vermeiden, daß Pakete mehrmals die Verbindung zwischen den beiden Gebäuden durchlaufen müssen.
Bitte warten ..
Mitglied: Pannas
17.11.2013, aktualisiert um 17:29 Uhr
Hallo,

danke für den Link. Wenn ich mir das alles so recht überlege ist ein VLAN vielleicht doch die Vernünftigere, wenn auch in dem Fall nicht optimale, Lösung. So brauch man nicht jedes mal ein neues Subnetz, extra Hardware und (DHCP, ..)-Relais wenn eine neue Halle dazu kommt.
Bitte warten ..
Mitglied: aqui
18.11.2013 um 09:26 Uhr
Ja, das macht Sinn gerade auch wenn man so gut ausgestattet ist wie du mit einem L3 Core Switch der einem dieses Segmentieren sehr leicht macht.
Eben durch diese VLAN Segmentierung behälst du die Performance im netz und kannst zudem über Accesslisten auch granular steuern wer wohin darf. Es ist also der richtige Weg ein Netzwerk zu skalieren !
Bitte warten ..
Mitglied: Lochkartenstanzer
18.11.2013 um 12:26 Uhr
Zitat von Pannas:
danke für den Link. Wenn ich mir das alles so recht überlege ist ein VLAN vielleicht doch die Vernünftigere, wenn
auch in dem Fall nicht optimale, Lösung. So brauch man nicht jedes mal ein neues Subnetz, extra Hardware und (DHCP,
..)-Relais wenn eine neue Halle dazu kommt.

Für Dich wären VLANs schon die richtige Lösung. Insbesondere, wenn man dafür ordendtliche L3-switches nimmt. Die Firewall/VPN-Lösung wäre nur bei eingeschränktem Budget eine Alternative.

lks
Bitte warten ..
Mitglied: MrNetman
18.11.2013 um 15:09 Uhr
Ein L3-Switch und managebare L2-Switche reichen völlig. Und die Firewalls können oft auch noch routen.
Bitte warten ..
Mitglied: Pannas
19.11.2013 um 16:17 Uhr
Hi,

sind ja doch zahlreiche Antworten geworden zu so einem simplen Problem. Danke dafür!

Es wird dann wohl doch das VLAN. Der L3-Switch in Gebäude1 soll durch einen managed L2-Switch (zur Trennung der VLANs) in Gebäude2 ergänzt werden, der Rest wird dann über unmanaged L2-Switche geregelt. Ist denke ich eine recht saubere Lösung.

Danke für die Tipps.
Bitte warten ..
Mitglied: MrNetman
20.11.2013 um 09:55 Uhr
Fein,

schließe erst das Thema und erzähle uns später, ob es auch so geklappt hat.
Danke
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (4)

Frage von griss0r zum Thema Windows Netzwerk ...

Monitoring
Netzwerk-Qualität Monitoring Toolempfehlung (8)

Frage von michmeie zum Thema Monitoring ...

Windows 10
Plötzlich kein Netzwerk mehr (13)

Frage von ZeroCool23 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...