Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
sysbetr:netzwerkstruktur [2019/07/30 12:01] – [Realisation] cbsysbetr:netzwerkstruktur [2020/04/06 17:39] cb
Zeile 14: Zeile 14:
  
 Die Kommunikation der Netze untereinander ist nur über die Firewall möglich und entsprechend sparsam erlaubt. Die Kommunikation der Netze untereinander ist nur über die Firewall möglich und entsprechend sparsam erlaubt.
-====Realisation====+====Realisierung==== 
 +==Layer 2 - Ethernet==
 Diese Netzwerkanzahl realisiert man in den Switchen mit [[VLAN]]s, so dass die Verbindung der Switche untereinander ("Backbone") einfach bleibt (i.d.R. eine Glasfaserverbindung), über dieser aber alle Netze getrennt transportiert werden ("Trunk"). Diese Netzwerkanzahl realisiert man in den Switchen mit [[VLAN]]s, so dass die Verbindung der Switche untereinander ("Backbone") einfach bleibt (i.d.R. eine Glasfaserverbindung), über dieser aber alle Netze getrennt transportiert werden ("Trunk").
  
-Die Ports, an denen die Rechner angeschlossen sind, werden dabei fest den verschiedenen VLANs zugeordnet.+Die Ports, an denen die Rechner angeschlossen sind, werden dabei fest den verschiedenen VLANs zugeordnet. VLANs haben jeweils eine ID / Nummer. Bei uns z.B. 10,15,20,25,40,45 usw. 
 +==Layer 3 - IP== 
 +Jedes VLAN muss einen eigenen IP-Nummernkreis aus dem Bereich der [[https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche|privaten IP-Adressen]] haben. Man behält den Überblick leichter, wenn die VLAN-Nummern und die IP-Kreise korreliert sind. Da wir beim WLAN langfristig auch mit mehr als 254 angemeldeten Geräten (selbst, wenn sie nur in der Hosentasche stecken) rechnen müssen, kommen /24-Netze 
 +((Ein /24-Netz bedeutet, dass die ersten 24 Bit der IP-Adresse als Netznummer gelten, die restlichen 8 Bit sind dann die Hostnummer. Abziehen muss man die Nummern mit komplett gesetzten bzw. gelöschten Bits: 255 als Broadcastadresse und 0 Netzwerkadresse. Somit gibt es in einem /24-Netz genau 2^(32-24)-2=254 Hosts.))  
 +nicht in Frage. Wir benötigen zwar  keine /16 Netze (über 60000 Geräte möglich), können aber in diesen Stufen einfacher strukturieren und beschränken uns auf /20-Netze((mit über 4000 möglichen Hosts)): 
 +  * VLAN **10**: IP 10.**10**.0.0/20 - KlassenzimmerLAN 
 +  * VLAN **15**: IP 10.**15**.0.0/20 - Schüler-WLAN 
 +usw.
  
-Die Firewall muss alle einzelnen Netze mit DHCP, DNS, NTP usw. versorgen (Ausnahme: wenn wir ein Windowsnetzwerk mit Domänencontroller //hätten//).+==Die Firewall== 
 +... muss alle einzelnen Netze mit DHCP, DNS, NTP usw. versorgen (Ausnahme: wenn wir ein Windowsnetzwerk mit Domänencontroller //hätten//).
 Sie muss die gewünschten Verbindungen zulassen ((z.B. LehrkräfteWLAN dürfen Drucker im LehrkräfteLAN benutzen, beide dürfen über die wenigen notwendigen Ports auf die Mailserver des Mailproviders zugreifen)) und alle anderen sperren. Sie muss die gewünschten Verbindungen zulassen ((z.B. LehrkräfteWLAN dürfen Drucker im LehrkräfteLAN benutzen, beide dürfen über die wenigen notwendigen Ports auf die Mailserver des Mailproviders zugreifen)) und alle anderen sperren.
 +Dazu hat die Firewall in jedem Netz eine IP-Adresse (10.x.0.1 oder 10.x.0.254) und gibt diese per DHCP den Clients als Gateway bekannt.
 ====Test==== ====Test====
-Kann man, z.B. mit per Hand gesetzter IP-Adresse fälschlicherweise ein fremdes LAN erreichen?+Kann man, z.B. mit per Hand gesetzter IP-Adressefälschlicherweise ein fremdes LAN erreichen? 
 + 
 +{{tag>Firewall VLAN Netzwerktrennung}}