Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
sysbetr:netzwerkstruktur [2019/07/30 12:36] – [Realisation] cbsysbetr:netzwerkstruktur [2020/05/05 12:08] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 1: Zeile 1:
-=====Netzwerkstruktur===== +Dies Systembetreuungs-Seiten sind umgezogen zu **[[https://systembetreuung.bienmueller.de/dokuwiki/doku.php|Systembetreuung in der Praxis]]**!
-====Problem==== +
-Rechtlich ist eine bayerische Schule gezwungen, mindestens das Verwaltungsnetz und das pädagogische Netz getrennt zu halten (OSI-Layer 2 und 3). +
-Arbeitet man außerdem mit WLAN und einem Computerraum, so ist es attraktiv gleich mehr getrennte Netze zu verwalten: +
-====Idee==== +
-Wir betreiben hauptsächlich: +
-  VerwaltungsLAN +
-  KlassenzimmerLAN, digitale Tafeln +
-  * SchulkinderWLAN, auch Gäste +
-  * LehrkräfteLAN +
-  * LehrkräfteWLAN +
-  * Computerraum +
-Die Netze dürfen über eine Firewall bzweinen Proxy tweingeschränkt auf das Internet zugreifen.+
  
-Die Kommunikation der Netze untereinander ist nur über die Firewall möglich und entsprechend sparsam erlaubt. +Diese Seite finden Sie dort als **[[https://systembetreuung.bienmueller.de/dokuwiki/doku.php/netzwerkstruktur]]**
-====Realisation==== +
-==Layer 2 - Ethernet== +
-Diese Netzwerkanzahl realisiert man in den Switchen mit [[VLAN]]s, so dass die Verbindung der Switche untereinander ("Backbone") einfach bleibt (i.d.R. eine Glasfaserverbindung), über dieser aber alle Netze getrennt transportiert werden ("Trunk").+
  
-Die Ports, an denen die Rechner angeschlossen sind, werden dabei fest den verschiedenen VLANs zugeordnet. VLANs haben jeweils eine ID / Nummer. Bei uns z.B. 10,15,20,25,40,45 usw. 
-==Layer 3 - IP== 
-Jedes VLAN muss einen eigenen IP-Nummernkreis aus dem Bereich der [[https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche|privaten IP-Adressen]] haben. Man behält den Überblick leichter, wenn die VLAN-Nummern und die IP-Kreise korreliert sind. Da wir beim WLAN langfristig auch mit mehr als 254 angemeldeten Geräten (selbst, wenn sie nur in der Hosentasche stecken) rechnen müssen, kommen /24-Netze 
-((Ein /24-Netz bedeutet, dass die ersten 24 Bit der IP-Adresse als Netznummer gelten, die restlichen 8 Bit sind dann die Hostnummer. Abziehen muss man die Nummern mit komplett gesetzten bzw. gelöschten Bits: 255 als Broadcastadresse und 0 Netzwerkadresse. Somit gibt es in einem /24-Netz genau 2^(32-24)-2=254 Hosts.))  
-nicht in Frage. Wir benötigen zwar  keine /16 Netze (über 60000 Geräte möglich), können aber in diesen Stufen einfacher strukturieren und beschränken uns auf /20-Netze((mit über 4000 möglichen Hosts)): 
-  * VLAN **10**: IP 10.**10**.0.0/20 - KlassenzimmerLAN 
-  * VLAN **15**: IP 10.**15**.0.0/20 - Schüler-WLAN 
-usw. 
- 
-==Die Firewall== 
-... muss alle einzelnen Netze mit DHCP, DNS, NTP usw. versorgen (Ausnahme: wenn wir ein Windowsnetzwerk mit Domänencontroller //hätten//). 
-Sie muss die gewünschten Verbindungen zulassen ((z.B. LehrkräfteWLAN dürfen Drucker im LehrkräfteLAN benutzen, beide dürfen über die wenigen notwendigen Ports auf die Mailserver des Mailproviders zugreifen)) und alle anderen sperren. 
-Dazu hat die Firewall in jedem Netz eine IP-Adresse (10.x.0.1 oder 10.x.0.254) und gibt diese per DHCP den Clients als Gateway bekannt. 
-====Test==== 
-Kann man, z.B. mit per Hand gesetzter IP-Adresse, fälschlicherweise ein fremdes LAN erreichen?