Netzwerkstruktur

Problem

Rechtlich ist eine bayerische Schule gezwungen, mindestens das Verwaltungsnetz und das pädagogische Netz getrennt zu halten (OSI-Layer 2 und 3). Arbeitet man außerdem mit WLAN und einem Computerraum, so ist es attraktiv gleich mehr getrennte Netze zu verwalten. Muss ein Client in demselben Netz wie der Server sein, den er ansprechen will? In der Regel nicht! Er muss ihn nur per Netz erreichen können.

Idee

Wir betreiben hauptsächlich:

  • VerwaltungsLAN
  • KlassenzimmerLAN, digitale Tafeln
  • SchulkinderWLAN, auch Gäste
  • LehrkräfteLAN
  • LehrkräfteWLAN
  • Computerraum

Die Netze dürfen über eine Firewall bzw. einen Proxy tw. eingeschränkt auf das Internet zugreifen.

Die Kommunikation der Netze untereinander ist nur über die Firewall möglich und entsprechend sparsam erlaubt.

Realisierung

Layer 2 - Ethernet

Diese Netzwerkanzahl realisiert man in den Switchen mit VLANs, so dass die Verbindung der Switche untereinander („Backbone“) einfach bleibt (i.d.R. eine Glasfaserverbindung), über diese aber alle Netze getrennt transportiert werden („Trunk“).

Die Ports, an denen die Rechner angeschlossen sind, werden dabei fest den verschiedenen VLANs zugeordnet. VLANs haben jeweils eine ID / Nummer. Bei uns z.B. 10, 15, 20, 25, 40, 45 usw.

Layer 3 - IP-Adressbereiche Variante 1 (unser aktueller Stand)

Jedes VLAN muss einen eigenen IP-Nummernkreis aus dem Bereich der privaten IP-Adressen haben. Man behält den Überblick leichter, wenn die VLAN-Nummern und die IP-Kreise korreliert sind. Da wir beim WLAN langfristig auch mit mehr als 254 angemeldeten Geräten (selbst, wenn sie nur in der Hosentasche stecken) rechnen müssen, kommen /24-Netze 1) nicht in Frage. Wir benötigen zwar keine /16 Netze 2), können aber in diesen Stufen einfacher strukturieren und beschränken uns auf /20-Netze3) mit der Struktur 10.v.h1.h24):

  • v=VLAN-Nummer
  • h=Hostnummer

Real im Einsatz:

  • VLAN 10: IP 10.10.0.0/20 - KlassenzimmerLAN
  • VLAN 15: IP 10.15.0.0/20 - Schüler-WLAN

usw. Etwas getrennt mit v>64 die nicht-pädagogischen Bereiche:

  • VLAN 70: IP 10.70.0.0/20 - Verwaltung

Layer 3 - IP-Adressbereiche Variante 2

Evtl. ist der IP-Adressbereich von außen (→ Sachaufwandsträger, also Schulgebäudeeigentümer oder Konzern) vorgegeben und der Schule werden nur 16Bit gelassen. Dann reden wir von 10.s.v.h mit:

  • s=Schulnummer, Niederlassungsnummer
  • v=VLAN-Nummer (dazu unten mehr)
  • h=Hostnummer (so erst einmal nur 254 mögliche Rechner im Netz)

Dann sollte folgende Struktur erfolgreich sein:

  • Für die meisten Netze (je bis ca. 250 Hosts) also: 10.Schulnummer.VLAN.0/24
    • Bsp.: Host-Adressen 10.123.3.1 bis 10.123.3.254
    • Mögliche VLANs in Einserabständen
  • Für das WLAN oder andere Netze mit deutlich mehr Adressbedarf (gut 4000 Hosts möglich):
    • 10.Schulnummer.VLANXXL.0/20
    • Host-Adressen z.B. 10.123.16.1 bis 10.123.31.254 5)
    • Anforderungen an VLANXXL:
      • es muss ein ganzzahliges Vielfaches von 16 sein
      • das nächste VLAN muss (mindestens) um 16 größer als dieses sein
  • Wenn man außerdem eine Trennung der Verantwortlichkeiten (z.B. wg. externem Dienstleister in der Verwaltung) anstrebt, kann man den Bereich bei 10.s.128.0 halbieren, was das Routing zwischen den Verantwortungsbereichen erleichtert.
  • Ein Vorschlag könnte daher sein (mit Schulnummer 123):
    • 10.123.1.0/24 Managementnetzwerk
    • 10.123.2.0/24 Klassenzimmer
    • 10.123.3.0/24 Computerräume
    • usw.
    • 10.123.16.0/20 WLAN allgemein
    • 10.123.32.0/20 WLAN Lehrkräfte
    • 10.123.128.0/24 Verwaltungsrechner
    • 10.123.129.0/24 Verwaltungsserver usw.

Die Firewall

… muss alle einzelnen Netze mit DHCP, DNS, NTP usw. versorgen (Ausnahme: bei einem Windowsnetzwerk mit Domänencontroller übernimmt dieser diese Aufgaben). Sie muss die gewünschten Verbindungen zulassen 6) und alle anderen sperren. Dazu hat die Firewall in jedem Netz eine IP-Adresse (10.x.0.1 oder 10.x.0.254) und gibt diese per DHCP den Clients als Gateway bekannt.

Routing

… (also das Weiterleiten legitimer IP-Pakete in andere Netze) kann man natürlich auch Layer-3-Switchen überlassen - daher deren Name. Die Firewall kann trotzdem die restlichen Dienste anbieten, darf aber in den betroffenen Netzen nicht mehr das Standardgateway sein. Komplexe Filter realisiert man damit nicht, aber die sollten an einer Schule i.d.R. nicht nötig sein. Diese Switche können dafür 10GBit problemlos routen, ohne dass man eine restlos überteuerte Firewall mit 10GBit-Interface beschaffen muss.

Test

Kann man, z.B. mit per Hand gesetzter IP-Adresse, fälschlicherweise ein fremdes LAN erreichen?

1)
Ein /24-Netz bedeutet, dass die ersten 24 Bit der IP-Adresse als Netznummer gelten, die restlichen 8 Bit sind dann die Hostnummer. Abziehen muss man die Nummern mit komplett gesetzten bzw. gelöschten Bits: 255 als Broadcastadresse und 0 Netzwerkadresse. Somit gibt es in einem /24-Netz genau 2^(32-24)-2=254 Hosts.
2)
über 65 000 Geräte möglich
3)
mit über 4000 möglichen Hosts
4)
h1 ist bei uns also immer kleiner als 16
5)
es werden also 4 Bits des VLANXXL für die Hostadressen mitgenommen
6)
z.B. LehrkräfteWLAN dürfen Drucker im LehrkräfteLAN benutzen, beide dürfen über die wenigen notwendigen Ports auf die Mailserver des Mailproviders zugreifen