Metainformationen zur Seite
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
sysbetr:netzwerkstruktur [2019/07/29 19:00] – angelegt cb | sysbetr:netzwerkstruktur [2020/04/06 17:39] – cb | ||
---|---|---|---|
Zeile 2: | Zeile 2: | ||
====Problem==== | ====Problem==== | ||
Rechtlich ist eine bayerische Schule gezwungen, mindestens das Verwaltungsnetz und das pädagogische Netz getrennt zu halten (OSI-Layer 2 und 3). | Rechtlich ist eine bayerische Schule gezwungen, mindestens das Verwaltungsnetz und das pädagogische Netz getrennt zu halten (OSI-Layer 2 und 3). | ||
- | Arbeite | + | Arbeitet |
====Idee==== | ====Idee==== | ||
Wir betreiben hauptsächlich: | Wir betreiben hauptsächlich: | ||
Zeile 14: | Zeile 14: | ||
Die Kommunikation der Netze untereinander ist nur über die Firewall möglich und entsprechend sparsam erlaubt. | Die Kommunikation der Netze untereinander ist nur über die Firewall möglich und entsprechend sparsam erlaubt. | ||
- | ====Realisation==== | + | ====Realisierung==== |
- | Diese Netzwerkanzahl realisiert in den Switchen mit [[VLAN]]s, so dass die Verbindung der Switche untereinander (" | + | ==Layer 2 - Ethernet== |
+ | Diese Netzwerkanzahl realisiert | ||
- | Die Ports, an denen die Rechner angeschlossen sind, sind dabei fest den verschiedenen VLANs zugeordnet. | + | Die Ports, an denen die Rechner angeschlossen sind, werden |
+ | ==Layer 3 - IP== | ||
+ | Jedes VLAN muss einen eigenen IP-Nummernkreis aus dem Bereich der [[https:// | ||
+ | ((Ein /24-Netz bedeutet, dass die ersten 24 Bit der IP-Adresse als Netznummer gelten, die restlichen 8 Bit sind dann die Hostnummer. Abziehen muss man die Nummern mit komplett gesetzten bzw. gelöschten Bits: 255 als Broadcastadresse und 0 Netzwerkadresse. Somit gibt es in einem /24-Netz genau 2^(32-24)-2=254 Hosts.)) | ||
+ | nicht in Frage. Wir benötigen zwar keine /16 Netze (über 60000 Geräte möglich), können aber in diesen Stufen einfacher strukturieren und beschränken uns auf / | ||
+ | * VLAN **10**: IP 10.**10**.0.0/ | ||
+ | * VLAN **15**: IP 10.**15**.0.0/ | ||
+ | usw. | ||
- | Die Firewall muss alle einzelnen Netze mit DHCP, DNS, NTP usw. versorgen (Ausnahme: wenn wir ein Windowsnetzwerk mit Domänencontroller // | + | ==Die Firewall== |
+ | ... muss alle einzelnen Netze mit DHCP, DNS, NTP usw. versorgen (Ausnahme: wenn wir ein Windowsnetzwerk mit Domänencontroller // | ||
Sie muss die gewünschten Verbindungen zulassen ((z.B. LehrkräfteWLAN dürfen Drucker im LehrkräfteLAN benutzen, beide dürfen über die wenigen notwendigen Ports auf die Mailserver des Mailproviders zugreifen)) und alle anderen sperren. | Sie muss die gewünschten Verbindungen zulassen ((z.B. LehrkräfteWLAN dürfen Drucker im LehrkräfteLAN benutzen, beide dürfen über die wenigen notwendigen Ports auf die Mailserver des Mailproviders zugreifen)) und alle anderen sperren. | ||
+ | Dazu hat die Firewall in jedem Netz eine IP-Adresse (10.x.0.1 oder 10.x.0.254) und gibt diese per DHCP den Clients als Gateway bekannt. | ||
====Test==== | ====Test==== | ||
- | Kann man, z.B. mit per Hand gesetzter IP-Adresse fälschlicherweise ein fremdes LAN erreichen? | + | Kann man, z.B. mit per Hand gesetzter IP-Adresse, fälschlicherweise ein fremdes LAN erreichen? |
+ | |||
+ | {{tag> |