7
Standorte und Subnetze
Hallo zusammen,
aktuell gibt es bei uns eine Zentrale und eine früher kleine Außenstelle, die inzwischen gewachsen ist. Um die Performance zu erhöhen und die 8Mb-Leitung zu entlasten, möchte ich die gesamte Struktur anpassen.
IST:
Zentrale und Außenstelle nutzen zusammen
- eine Domäne
- zwei Domain Controller mit DHCP und DNS (beide in der Zentrale)
- ein großes IP-Netz
Die IP-Adressen sind folgendermaßen aufgeteilt (zur Vereinfachung nur Beispiele):
10.1.1.0/16 - Server (statische IPs)
10.1.2.0/16 - Clients mit DHCP vom DC1
10.1.3.0/16 - Clients mit DHCP vom DC2
10.1.4.0/16 - Drucker (statische IPs)
10.1.5.0/16 - Switches (statische IPs)
SOLL:
- Zusätzlich zu den beiden DCs soll ein DC in die Außenstelle für DHCP, DNS und DFS.
- Es soll auch weiterhin nur eine Domäne existieren.
- Alles soll in kleinere Subnetze aufgeteilt werden.
- Die Außenstelle soll ein eigener AD-Standort werden.
AKTUELLES KONZEPT:
Die IP-Adressen werden folgendermaßen aufgeteilt:
Zentrale:
10.1.1.0/24 - Server (statische IPs)
10.1.2.0/24 - Clients mit DHCP vom DC1
10.1.3.0/24 - Clients mit DHCP vom DC2
10.1.4.0/24 - Drucker (statische IPs)
10.1.5.0/24 - Switches (statische IPs)
Außenstelle:
10.2.1.0/24 - Server (statische IPs)
10.2.2.0/24 - Clients mit DHCP vom DC3
10.2.4.0/24 - Drucker (statische IPs)
10.2.5.0/24 - Switches (statische IPs)
Die Switches übernehmen das Routing.
Ein zusätzlicher DC (DC3) wird für die Außenstelle installiert inkl. GC, DHCP, DNS und DFS.
Im AD wird ein neuer Standort erstellt und der DC3 und die entsprechenden Subnetze diesem zugewiesen.
FRAGEN:
1. Ist das Konzept soweit OK?
2. Gibt es sonst noch Verbesserungsvorschläge?
3. Kleine Detailfrage bezüglich der Zuordnung der Subnetze zu den Standorten: Kann ich in der SOLL-Situation dann einfach 10.1.0.0/16 dem Standort1 und 10.2.0.0/16 dem Standort2 zuweisen? Oder muss ich jedes einzelne /24-Subnetz dort angeben?
aktuell gibt es bei uns eine Zentrale und eine früher kleine Außenstelle, die inzwischen gewachsen ist. Um die Performance zu erhöhen und die 8Mb-Leitung zu entlasten, möchte ich die gesamte Struktur anpassen.
IST:
Zentrale und Außenstelle nutzen zusammen
- eine Domäne
- zwei Domain Controller mit DHCP und DNS (beide in der Zentrale)
- ein großes IP-Netz
Die IP-Adressen sind folgendermaßen aufgeteilt (zur Vereinfachung nur Beispiele):
10.1.1.0/16 - Server (statische IPs)
10.1.2.0/16 - Clients mit DHCP vom DC1
10.1.3.0/16 - Clients mit DHCP vom DC2
10.1.4.0/16 - Drucker (statische IPs)
10.1.5.0/16 - Switches (statische IPs)
SOLL:
- Zusätzlich zu den beiden DCs soll ein DC in die Außenstelle für DHCP, DNS und DFS.
- Es soll auch weiterhin nur eine Domäne existieren.
- Alles soll in kleinere Subnetze aufgeteilt werden.
- Die Außenstelle soll ein eigener AD-Standort werden.
AKTUELLES KONZEPT:
Die IP-Adressen werden folgendermaßen aufgeteilt:
Zentrale:
10.1.1.0/24 - Server (statische IPs)
10.1.2.0/24 - Clients mit DHCP vom DC1
10.1.3.0/24 - Clients mit DHCP vom DC2
10.1.4.0/24 - Drucker (statische IPs)
10.1.5.0/24 - Switches (statische IPs)
Außenstelle:
10.2.1.0/24 - Server (statische IPs)
10.2.2.0/24 - Clients mit DHCP vom DC3
10.2.4.0/24 - Drucker (statische IPs)
10.2.5.0/24 - Switches (statische IPs)
Die Switches übernehmen das Routing.
Ein zusätzlicher DC (DC3) wird für die Außenstelle installiert inkl. GC, DHCP, DNS und DFS.
Im AD wird ein neuer Standort erstellt und der DC3 und die entsprechenden Subnetze diesem zugewiesen.
FRAGEN:
1. Ist das Konzept soweit OK?
2. Gibt es sonst noch Verbesserungsvorschläge?
3. Kleine Detailfrage bezüglich der Zuordnung der Subnetze zu den Standorten: Kann ich in der SOLL-Situation dann einfach 10.1.0.0/16 dem Standort1 und 10.2.0.0/16 dem Standort2 zuweisen? Oder muss ich jedes einzelne /24-Subnetz dort angeben?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 197504
Url: https://administrator.de/contentid/197504
Printed on: April 25, 2024 at 00:04 o'clock
7 Comments
Latest comment
Hallo,
Verschlüsselt?
bzw. wie werden die Standorte Verbunden?
Gruß
1. Ist das Konzept soweit OK?
Ist das eine VPN Verbindung?Verschlüsselt?
bzw. wie werden die Standorte Verbunden?
2. Gibt es sonst noch Verbesserungsvorschläge?
Für das lokale Routing zwischen den VLANs ist das mit den Switchen ja okay. Aber für die Standort Vernetzung würde ich einen Router nehmen.Gruß
Die Verbindung zwischen den Standorten ist über einen EthernetConnect der Telekom realisiert, also eine Direktverbindung.
Was spricht dagegen, den physikalisch ersten Switch in der Außenstelle als Router zu nutzen?
Was spricht dagegen, den physikalisch ersten Switch in der Außenstelle als Router zu nutzen?
Hallo,
ein Router hat eine darauf abgestimmte CPU und bringt mehr Routing Leistung als ein Switch.
Oder wie mein Lehrer immer sagte:
"Ein Router ist ein Router, ein Router und keine Firewall, kein Switch, kein wasweißich sondern ein Router"
Gruß
ein Router hat eine darauf abgestimmte CPU und bringt mehr Routing Leistung als ein Switch.
Oder wie mein Lehrer immer sagte:
"Ein Router ist ein Router, ein Router und keine Firewall, kein Switch, kein wasweißich sondern ein Router"
Gruß
Hi,
Ist auf jeden Fall sicherer.
VG
Deepsys
Zitat von @m-c-g:
Die Verbindung zwischen den Standorten ist über einen EthernetConnect der Telekom realisiert, also eine Direktverbindung.
Da du aber nicht die Kontrolle über diese "Leitung" hast, die kann ja auch ein VLAN mit 100 Switchen dazwischen sein, würde ich auch diese Leitung per VPN verschlüsseln.Die Verbindung zwischen den Standorten ist über einen EthernetConnect der Telekom realisiert, also eine Direktverbindung.
Ist auf jeden Fall sicherer.
Was spricht dagegen, den physikalisch ersten Switch in der Außenstelle als Router zu nutzen?
Nichts wenn der VPN kann 3. Kleine Detailfrage bezüglich der Zuordnung der Subnetze zu den Standorten: Kann ich in der SOLL-Situation dann einfach 10.1.0.0/16 dem Standort1 und 10.2.0.0/16 dem Standort2 zuweisen? Oder muss ich jedes einzelne /24-Subnetz dort angeben?
Das hängt eher vom Router/Switch ab, wenn der damit klarkommt (was er sollte), geht es mit dem /16er Netz.VG
Deepsys
Hi
an der Zentrale: Warum 2 x DHCP und (wenn HA notwendig) nicht ein Cluster? Wenn du Router einsetzt kannst du auch mit DHCP Helper arbeiten und alles über einen DHCP(Cluster) machen.
Ein weiterer Punkt von Switchen zu Routern: du kannst das eigentlichen _Routing_ weitaus besser/feiner einstellen (auch wegen den RIP, OSPF usw.).
Und die Subnetze immer nur so groß gestalten wie eben Notwendig, lieber zwei /24er Netze mehr als ein /16er ansonsten wird der Broadcast schon ausreichen um genug Traffic zu verursachen.
an der Zentrale: Warum 2 x DHCP und (wenn HA notwendig) nicht ein Cluster? Wenn du Router einsetzt kannst du auch mit DHCP Helper arbeiten und alles über einen DHCP(Cluster) machen.
Ein weiterer Punkt von Switchen zu Routern: du kannst das eigentlichen _Routing_ weitaus besser/feiner einstellen (auch wegen den RIP, OSPF usw.).
Und die Subnetze immer nur so groß gestalten wie eben Notwendig, lieber zwei /24er Netze mehr als ein /16er ansonsten wird der Broadcast schon ausreichen um genug Traffic zu verursachen.
Hallo m-c-g,
die Telekom schreibt dazu folgendes:
Und das macht eben der Switch nicht!
Irgendwie klingt das für mich aber auch eher nach:
oder
Also ohne hier jemandem zu nahe treten zu wollen, aber ich denke so ein Draytek Vigor 39xx
für eure Hauptniederlassung und ein kleinerer Draytek Vigor 39xx oder 29xx für die Filiale
sollten es schon sein. Man kann sicherlich auch einen LACOM 1781EF für die Hauptniederlassung
und einen kleineren LANCOM für die Filiale her nehmen, aber das sollte es schon sein!
Es geht doch um folgendes:
Wo am Switch wird SPI und NAT gemacht und was für Firewallregeln kommen da zum Schutze des gesamten
Netzwerkes zum tragen? Denn eines ist jetzt schon sicher, nämlich nichts!
Nichts ist sicher und alles ist möglich. Wenn das wirklich so ist und ich selber glaube da fest dran,
dann würde ich sagen man sollte vielleicht einmal an eine echte Firewall denken oder an einen guten Router
der die geforderte Leistung auch bringt und das ganze auch schön schnell "wuppt"!
Die Börse NASDAQ hat ein total in sich geschlossenes System und wenn dort jemand von außen rein kann,
will ich gar nicht erst wissen was bei dem Telekom Angebot drinnen ist! Und die Überschrift suggeriert es
ja förmlich das man dort auch wenn das Netz in sich geschlossen ist und man direkt miteinander verbunden
wird trotz alle dem VPN nutzen sollte! Nur damit die Ihrem Support-Team klein halten und nicht mehr
die teuren aber sicheren Geräte vergeben würde ich die Standortvernetzung nicht so ohne weiteren Schutz
betreiben wollen, denn Du bist als IT Verantwortlicher dann ja auch immer mit dem linke Bein im Knast
und/oder kannst als Sach- und Fachkundiger auf jeden Fall auf Schadensersatz verklagt werden.
Denn was dem Heimanwender heute mit einem SPI/NAT Router abverlangt wird, wird bei Firmen Grundsätzlich
vorausgesetzt! Die Telekom mag da ja schön raus sein und auch sicher Dein Chef aber Du noch lange nicht!
Also ich würde ja wenn es das Budget zulässt auf die Draytek Vigor 3900 Lösung setzen.
Schau Dir bitte einmal an was der Dir an Leistung und Möglichkeiten bietet das ist
schon phänomenal und ich bin sonst nicht der Draytek Experte.
Was auch noch sehr performant ist und öfters hier im Forum genannt wird ist die Sophos UTM320.
Auf jeden Fall etwas was mit einer VPN Hardwareunterstützung oder VPN Beschleunigung daher kommt
und mindestens SPI und NAT Funktionalität bietet.
Kurz um entweder schneller oder zwei Internetverbindungen und eine Dual WAN oder MultiWAN Lösung
und im LAN würde ich dann eher zu VLANs tendieren und die Server IPs statisch lassen.
Ein Router routet Pakete von einem Punkt zu einem oder mehreren anderen Punkten.
Eine Firewall trennt ein oder mehrere Netze von einem oder mehreren anderen Netzen.
Das beide Geräte heute oft auch die Funktionen SPI und NAT anbieten macht sie noch lange nicht
zu Mitgliedern einer Geräteklasse, die gleiche Sicherheit und Funktionsvielfalt anbieten!
Sicherlich verschwimmen heutzutage die Grenzen immer mehr, aber selbst bei den mit unter Umständen guten bis sehr guten Sicherheitseinstellungen von Switchen bieten diese nur einen Bruchteil an Sicherheit und
Funktionen an die eine Firewall oder ein guter Router mitbringen.
Gruß
Dobby
die Telekom schreibt dazu folgendes:
Die Standortvernetzung ist dabei denkbar unkompliziert: Sie schließen per Ethernet-Kabel einfach Ihren Netzwerkverteiler (Switch oder Hub) an unser EthernetConnect- Anschlussgerät an – fertig!
Telekom EtherConnect aber dort steht auch etwas anderes als Überschrift darüber und das nicht ganz ohne Grund!!!!! Vernetzung und VPNUnd das macht eben der Switch nicht!
Irgendwie klingt das für mich aber auch eher nach:
Guten Tag wir sind der xxx Dienst und dürfen den Staatstrojaner nicht einsetzen möchten doch aber zu gerne in alle Netze gucken! Bitte helfen Sie doch auch mit.
oder
Guten Tag wir sind die Telekom und wollen eine Menge Geld sparen, da wir im Gegensatz zu früher
Cisco Hardware an unsere Kunden vergeben haben die uns zu teuer wurde und die billigen austausch Router waren den Kunden nicht performant genug und unser Support wurde zu aufgebläht und kannte sich mit den verschiedenen Modellen unserer Kunden auch nicht wirklich aus!Also ohne hier jemandem zu nahe treten zu wollen, aber ich denke so ein Draytek Vigor 39xx
für eure Hauptniederlassung und ein kleinerer Draytek Vigor 39xx oder 29xx für die Filiale
sollten es schon sein. Man kann sicherlich auch einen LACOM 1781EF für die Hauptniederlassung
und einen kleineren LANCOM für die Filiale her nehmen, aber das sollte es schon sein!
Es geht doch um folgendes:
Wo am Switch wird SPI und NAT gemacht und was für Firewallregeln kommen da zum Schutze des gesamten
Netzwerkes zum tragen? Denn eines ist jetzt schon sicher, nämlich nichts!
Nichts ist sicher und alles ist möglich. Wenn das wirklich so ist und ich selber glaube da fest dran,
dann würde ich sagen man sollte vielleicht einmal an eine echte Firewall denken oder an einen guten Router
der die geforderte Leistung auch bringt und das ganze auch schön schnell "wuppt"!
Die Börse NASDAQ hat ein total in sich geschlossenes System und wenn dort jemand von außen rein kann,
will ich gar nicht erst wissen was bei dem Telekom Angebot drinnen ist! Und die Überschrift suggeriert es
ja förmlich das man dort auch wenn das Netz in sich geschlossen ist und man direkt miteinander verbunden
wird trotz alle dem VPN nutzen sollte! Nur damit die Ihrem Support-Team klein halten und nicht mehr
die teuren aber sicheren Geräte vergeben würde ich die Standortvernetzung nicht so ohne weiteren Schutz
betreiben wollen, denn Du bist als IT Verantwortlicher dann ja auch immer mit dem linke Bein im Knast
und/oder kannst als Sach- und Fachkundiger auf jeden Fall auf Schadensersatz verklagt werden.
Denn was dem Heimanwender heute mit einem SPI/NAT Router abverlangt wird, wird bei Firmen Grundsätzlich
vorausgesetzt! Die Telekom mag da ja schön raus sein und auch sicher Dein Chef aber Du noch lange nicht!
Also ich würde ja wenn es das Budget zulässt auf die Draytek Vigor 3900 Lösung setzen.
Schau Dir bitte einmal an was der Dir an Leistung und Möglichkeiten bietet das ist
schon phänomenal und ich bin sonst nicht der Draytek Experte.
Was auch noch sehr performant ist und öfters hier im Forum genannt wird ist die Sophos UTM320.
Auf jeden Fall etwas was mit einer VPN Hardwareunterstützung oder VPN Beschleunigung daher kommt
und mindestens SPI und NAT Funktionalität bietet.
Kurz um entweder schneller oder zwei Internetverbindungen und eine Dual WAN oder MultiWAN Lösung
und im LAN würde ich dann eher zu VLANs tendieren und die Server IPs statisch lassen.
Ein Router routet Pakete von einem Punkt zu einem oder mehreren anderen Punkten.
Eine Firewall trennt ein oder mehrere Netze von einem oder mehreren anderen Netzen.
Das beide Geräte heute oft auch die Funktionen SPI und NAT anbieten macht sie noch lange nicht
zu Mitgliedern einer Geräteklasse, die gleiche Sicherheit und Funktionsvielfalt anbieten!
Sicherlich verschwimmen heutzutage die Grenzen immer mehr, aber selbst bei den mit unter Umständen guten bis sehr guten Sicherheitseinstellungen von Switchen bieten diese nur einen Bruchteil an Sicherheit und
Funktionen an die eine Firewall oder ein guter Router mitbringen.
Gruß
Dobby
Danke Euch allen bis hierher für die Antworten und Anregungen.
Das Konzept steht soweit, die Umsetzung wird in den nächsten Wochen laufen.
Sollten dabei noch Fragen auftauchen, wende ich mich gerne wieder an Euch.
Das Konzept steht soweit, die Umsetzung wird in den nächsten Wochen laufen.
Sollten dabei noch Fragen auftauchen, wende ich mich gerne wieder an Euch.
