Metainformationen zur Seite
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende Überarbeitung | |||
sysbetr:netzwerkstruktur [2020/04/06 17:39] – cb | sysbetr:netzwerkstruktur [2020/05/05 12:08] (aktuell) – Externe Bearbeitung 127.0.0.1 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | =====Netzwerkstruktur===== | + | Dies Systembetreuungs-Seiten sind umgezogen |
- | ====Problem==== | + | |
- | Rechtlich ist eine bayerische Schule gezwungen, mindestens das Verwaltungsnetz und das pädagogische Netz getrennt zu halten (OSI-Layer 2 und 3). | + | |
- | Arbeitet man außerdem mit WLAN und einem Computerraum, | + | |
- | ====Idee==== | + | |
- | Wir betreiben hauptsächlich: | + | |
- | | + | |
- | | + | |
- | * SchulkinderWLAN, | + | |
- | * LehrkräfteLAN | + | |
- | * LehrkräfteWLAN | + | |
- | * Computerraum | + | |
- | Die Netze dürfen über eine Firewall bzw. einen Proxy tw. eingeschränkt auf das Internet zugreifen. | + | |
- | Die Kommunikation der Netze untereinander ist nur über die Firewall möglich und entsprechend sparsam erlaubt. | + | Diese Seite finden Sie dort als **[[https:// |
- | ====Realisierung==== | + | |
- | ==Layer 2 - Ethernet== | + | |
- | Diese Netzwerkanzahl realisiert man in den Switchen mit [[VLAN]]s, so dass die Verbindung der Switche untereinander (" | + | |
- | Die Ports, an denen die Rechner angeschlossen sind, werden dabei fest den verschiedenen VLANs zugeordnet. VLANs haben jeweils eine ID / Nummer. Bei uns z.B. 10, | ||
- | ==Layer 3 - IP== | ||
- | Jedes VLAN muss einen eigenen IP-Nummernkreis aus dem Bereich der [[https:// | ||
- | ((Ein /24-Netz bedeutet, dass die ersten 24 Bit der IP-Adresse als Netznummer gelten, die restlichen 8 Bit sind dann die Hostnummer. Abziehen muss man die Nummern mit komplett gesetzten bzw. gelöschten Bits: 255 als Broadcastadresse und 0 Netzwerkadresse. Somit gibt es in einem /24-Netz genau 2^(32-24)-2=254 Hosts.)) | ||
- | nicht in Frage. Wir benötigen zwar keine /16 Netze (über 60000 Geräte möglich), können aber in diesen Stufen einfacher strukturieren und beschränken uns auf / | ||
- | * VLAN **10**: IP 10.**10**.0.0/ | ||
- | * VLAN **15**: IP 10.**15**.0.0/ | ||
- | usw. | ||
- | |||
- | ==Die Firewall== | ||
- | ... muss alle einzelnen Netze mit DHCP, DNS, NTP usw. versorgen (Ausnahme: wenn wir ein Windowsnetzwerk mit Domänencontroller // | ||
- | Sie muss die gewünschten Verbindungen zulassen ((z.B. LehrkräfteWLAN dürfen Drucker im LehrkräfteLAN benutzen, beide dürfen über die wenigen notwendigen Ports auf die Mailserver des Mailproviders zugreifen)) und alle anderen sperren. | ||
- | Dazu hat die Firewall in jedem Netz eine IP-Adresse (10.x.0.1 oder 10.x.0.254) und gibt diese per DHCP den Clients als Gateway bekannt. | ||
- | ====Test==== | ||
- | Kann man, z.B. mit per Hand gesetzter IP-Adresse, fälschlicherweise ein fremdes LAN erreichen? | ||
- | |||
- | {{tag> |