Netzwerkstruktur

2024-07-19

Probleme & Chancen

Rechtlich ist eine bayerische Schule gehalten, dass mindestens das Verwaltungsnetz und das pädagogische Netz getrennt sind. Die betrifft die Ethernet-Ebene wie die IP-Ebene.

Inzwischen arbeiten alle Schulen mit WLAN und ggf. Computerräumen, daher ist es sinnvoll, gleich entsprechend mehr getrennte Netze zu betreiben. Es gibt auch Gründe zum Begrenzen der Größe der WLANs.

Idee

Komplett getrennt von der pädagogischen Seite (eigene Firewall):

Wir betreiben auf der pädagogischen Seite hauptsächlich:

Die pädagogischen Netze dürfen über eine Firewall (tw. eingeschränkt) auf das Internet und die Server zugreifen.

Die Kommunikation der Netze untereinander ist nur über die Firewall möglich und entsprechend sparsam erlaubt.

Realisierung

Grundsätzlich können und sollten Geräte, die einander “nicht sehen müssen”, auch in getrennten Netzen sein: PCs von Lehrkräften, ComputerraumPCs, offenes WLAN, WLAN der Lehrkräfte usw. Und natürlich die Verwaltung. Über eine Firewall können gezielt Kommunikationsmöglichkeiten eingeräumt werden, z.B. um Drucker oder Server zu erreichen.

Layer 2 - Ethernet

Diese Netzwerkanzahl realisiert man in den Switchen mit VLANs, so dass die Verbindung der Switche untereinander ("Backbone") einfach bleibt (i.d.R. eine Glasfaserverbindung), über diese aber alle Netze voneinander getrennt transportiert werden (“Trunk”).

Die Ports, an denen die Rechner angeschlossen sind, werden dabei fest den verschiedenen VLANs zugeordnet. VLANs haben jeweils eine ID / Nummer. Bei uns z.B. 10, 15, 20, 25, 40, 45 usw.

Layer 3 - IP-Adressbereiche

Jedes VLAN muss einen eigenen IP-Nummernkreis aus dem Bereich der privaten IP-Adressen haben. Man behält den Überblick leichter, wenn die VLAN-Nummern und die IP-Kreise korreliert sind. Da wir beim WLAN langfristig auch mit mehr als 254 angemeldeten Geräten (selbst, wenn sie nur in der Hosentasche stecken) rechnen müssen, kommen /24-Netze 1 nicht in Frage. Wir benötigen zwar keine /16 Netze 2, können aber in diesen Stufen einfacher strukturieren und beschränken uns auf /20-Netze3 mit der Struktur 10.v.h1.h2[^4]:

*v=VLAN-Nummer
*h=Hostnummer

Real im Einsatz:

usw. Etwas getrennt mit v>64 die nicht-pädagogischen Bereiche:

Layer 3 - IP-Adressbereiche Alternative

Evtl. ist der IP-Adressbereich von außen (-> Sachaufwandsträger, also Schulgebäudeeigentümer oder Konzern) vorgegeben und der Schule werden nur 16Bit gelassen. Dann reden wir von 10.s.v.h mit:

*s=Schulnummer, Niederlassungsnummer
*v=VLAN-Nummer (dazu unten mehr)
*h=Hostnummer (so erst einmal nur 254 mögliche Rechner je Netz)

Dann sollte folgende Struktur erfolgreich sein: Man wählt für die VLANs nicht die bequemen Nummern aus dem Zehnersystem (10, 15, 20), sondern orientiert sich an durch 4 teilbaren Zahlen (enden mit zwei Nullen im Zweiersystem): 4, 8, 12, 16 usw. Diese “ungenutzten” zwei Binärziffern werden der Hostnummer zugeschlagen durch eine Netzmaske von /22 statt dem bekannten /24.

Bsp. für die Schule Nr. 123 mit den aufeinanderfolgenden VLANs 12 und 16:

Dies reicht für 64 VLANs mit je bis zu 1022 Geräten. Damit sollten auch Peaks in der WLAN-Belastung möglich sein. Dauerhaft sollte man eher nur ca. 250 Geräte im einzelnen WLAN anstreben.

Wer mit VLAN-Nummern in Achterschritten arbeitet, der erhält immer noch ausreichende 32 VLANs mit jeweils 2046 Geräten.

Die Firewall

... muss alle einzelnen Netze mit DHCP, DNS, NTP usw. versorgen (Ausnahme: bei einem Windowsnetzwerk mit Domänencontroller übernimmt dieser diese Aufgaben). Sie muss die gewünschten Verbindungen zulassen und alle anderen sperren. Dazu hat die Firewall in jedem Netz eine IP-Adresse (bei uns 10.x.0.1) und gibt diese per DHCP den Clients als Gateway bekannt.

Routing

... (also das Weiterleiten legitimer IP-Pakete in andere Netze) kann man natürlich auch Layer-3-Switchen überlassen - daher deren Name. Die Firewall kann trotzdem die restlichen Dienste anbieten, darf aber in den betroffenen Netzen nicht mehr das Standardgateway sein. Komplexe Filter realisiert man damit nicht, aber die sollten an einer Schule i.d.R. nicht nötig sein. Diese Switche können dafür 10GBit problemlos routen (z.B. um auf den Fog-Server zuzugreifen), ohne dass man eine restlos überteuerte Firewall mit 10GBit-Interface beschaffen muss.

Bei einem Eigenbau verhält sich das anders: unsere OPNsense (auf altem Pentium) routet problemlos 10GBit, wenn z.B. 12 Rechner gleichzeitig mit je 1GBit ein neues Image ziehen. Die gesamte aktive Netzwerkkonfiguration findet daher auf der Firewall statt. Die Switche werden nur für VLAN konfiguriert.

Test

Kann man, z.B. mit per Hand gesetzter IP-Adresse, fälschlicherweise ein fremdes LAN erreichen?


  1. Ein /24-Netz bedeutet, dass die ersten 24 Bit der IP-Adresse als Netznummer gelten, die restlichen 8 Bit sind dann die Hostnummer. Abziehen muss man die Nummern mit komplett gesetzten bzw. gelöschten Bits: 255 als Broadcastadresse und 0 Netzwerkadresse. Somit gibt es in einem /24-Netz genau 2^(32-24)-2=254 Hosts.↩︎

  2. über 65 000 Geräte möglich↩︎

  3. mit über 4000 möglichen Hosts↩︎