Metainformationen zur Seite

Netzwerkstruktur

Problem

Rechtlich ist eine bayerische Schule gezwungen, mindestens das Verwaltungsnetz und das pädagogische Netz getrennt zu halten (OSI-Layer 2 und 3). Arbeitet man außerdem mit WLAN und einem Computerraum, so ist es attraktiv gleich mehr getrennte Netze zu verwalten:

Idee

Wir betreiben hauptsächlich:

  • VerwaltungsLAN
  • KlassenzimmerLAN, digitale Tafeln
  • SchulkinderWLAN, auch Gäste
  • LehrkräfteLAN
  • LehrkräfteWLAN
  • Computerraum

Die Netze dürfen über eine Firewall bzw. einen Proxy tw. eingeschränkt auf das Internet zugreifen.

Die Kommunikation der Netze untereinander ist nur über die Firewall möglich und entsprechend sparsam erlaubt.

Realisierung

Layer 2 - Ethernet

Diese Netzwerkanzahl realisiert man in den Switchen mit VLANs, so dass die Verbindung der Switche untereinander („Backbone“) einfach bleibt (i.d.R. eine Glasfaserverbindung), über dieser aber alle Netze getrennt transportiert werden („Trunk“).

Die Ports, an denen die Rechner angeschlossen sind, werden dabei fest den verschiedenen VLANs zugeordnet. VLANs haben jeweils eine ID / Nummer. Bei uns z.B. 10,15,20,25,40,45 usw.

Layer 3 - IP

Jedes VLAN muss einen eigenen IP-Nummernkreis aus dem Bereich der privaten IP-Adressen haben. Man behält den Überblick leichter, wenn die VLAN-Nummern und die IP-Kreise korreliert sind. Da wir beim WLAN langfristig auch mit mehr als 254 angemeldeten Geräten (selbst, wenn sie nur in der Hosentasche stecken) rechnen müssen, kommen /24-Netze 1) nicht in Frage. Wir benötigen zwar keine /16 Netze (über 60000 Geräte möglich), können aber in diesen Stufen einfacher strukturieren und beschränken uns auf /20-Netze2):

  • VLAN 10: IP 10.10.0.0/20 - KlassenzimmerLAN
  • VLAN 15: IP 10.15.0.0/20 - Schüler-WLAN

usw.

Die Firewall

… muss alle einzelnen Netze mit DHCP, DNS, NTP usw. versorgen (Ausnahme: wenn wir ein Windowsnetzwerk mit Domänencontroller hätten). Sie muss die gewünschten Verbindungen zulassen 3) und alle anderen sperren. Dazu hat die Firewall in jedem Netz eine IP-Adresse (10.x.0.1 oder 10.x.0.254) und gibt diese per DHCP den Clients als Gateway bekannt.

Test

Kann man, z.B. mit per Hand gesetzter IP-Adresse, fälschlicherweise ein fremdes LAN erreichen?

1)
Ein /24-Netz bedeutet, dass die ersten 24 Bit der IP-Adresse als Netznummer gelten, die restlichen 8 Bit sind dann die Hostnummer. Abziehen muss man die Nummern mit komplett gesetzten bzw. gelöschten Bits: 255 als Broadcastadresse und 0 Netzwerkadresse. Somit gibt es in einem /24-Netz genau 2^(32-24)-2=254 Hosts.
2)
mit über 4000 möglichen Hosts
3)
z.B. LehrkräfteWLAN dürfen Drucker im LehrkräfteLAN benutzen, beide dürfen über die wenigen notwendigen Ports auf die Mailserver des Mailproviders zugreifen