Bitte um Empfehlung zu Literatur zu Netzwerkdesign

K

kawakawa

Experte
Thread Starter
Mitglied seit
21.07.2013
Beiträge
197
Hallo,

ich suche nach Infos (Links ins Netz) und Literatur zum Thema Netzwerkdesign.

Ich möchte gerne, so wie die Profis, ein Firmennetz planen, mit den Unternetzen, wie einem Wartungsnetz und Gastnetzwerk, etc.

Bin Informatiker, aber hauptsächlich Softwareentwicklung.

Wie Netze funktionieren ist mir klar und habe auch schon öfter welche aufgebaut - aber nur einfache. Nichts mit VLans, etc.

Grüße
kawakawa
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich behaupte mal das Literatur grade im Bezug auf VLAN etwas schwierig ist. Klar für die Grundlagen super, die eigentliche Konfiguration hängt aber dann von der Hardware ab die du einsetzt. Da bastelt jeder Hersteller selbst an der config rum und auch die Bezeichnungen stimmen nicht immer. Also so gesehen eine Konfigurationsanleitung wirst du (außer evtl bei Cisco) kaum finden.

Gesendet von meinem SM-G950F mit Tapatalk
 
Ich mache mal ein Beispiel:

Ich habe folgende Geräte:

8 Clients
3 Server alle mit KVM (extra Netzwerkschnittschnelle)
1 Router (auch mit KVM)
5 Überwachungskameras
1 Server, der Videos der Überwachungskameras aufzeichnen
3 Clients die nur ins Internet dürfen
20 IoT Geräte
3 Managed Switch
4 Access Points

Nun folgendes Problem:

Die Clients sollen auf alle Server zugreifen können.
Die Clients sollen auf die KVM der Server zugreifen können
Überwachungskameras dürfen nur auf den Video-Server zugreifen
Auf den Video-Server dürfen andere Clients und Server zugreifen
Drei Clients die nur ins Internet dürfen, dürfen nur auf das Internet zugreifen, nicht auf andere Geräte im Netz
IoT Geräte dürfen untereinander kommunizieren, aber nicht auf Clients, oder Server, oder Überwachungskameras zugreifen

Vermutlich brauche ich drei Netze:

En normales Netz für die normale Client-Server Kommunikation
Ein Wartungsnetz für die KVM Zugriffe von Clients auf Server-KVM-Schnittstellen und die KVM vom Router
Ein Security-Netz für die Kameras und ihren Video-Server
Ein Gast-Netz für die Clients, die nur ins Internet dürfen

Vermutlich muss ich das alles mit VLans machen.

Wie bewerkstellige ich, dass Zugriffe vom Normalen-Netz auf das Wartungsnetz genehmigt werden aber keine Zugriffe vom Wartungsnetz auf das Normale Netz?

Macht das mehr oder weniger Sinn?

Na ja, und irgendwann kommen da noch VoIP-Telefone dazu, die direkt ans Netzwerk angeschlossen werden und ins Internet geroutet werden müssen.

Warum das Ganze? Angenommen Draußen tut sich jemand an ein Netzkabel für die Überwachungskamera hängen, soll er keinesfalls Zugriff auf die Server bekommen können (wegen der Daten drauf). Oder: Wenn ich ein Android Phone ins Netz lasse, soll es nur ins Internet dürfen und keinesfalls auf die Server. Smartphone könnte mit Trojaner komprommitiert sein.

Es geht um die Abschirmung durch verschiedene Netze untereinander, damit kein Unbefugter Zugriff auf Daten auf Servern oder Clients erlangen kann.

Kann Jemand etwas Hilfestellung geben?
 
Zuletzt bearbeitet:
Hallo,
ich Stand vor kurzer Zeit vor einer Ähnlichen Aufgabe ohne wirklich Ahnung von Netzwerktechnik zu haben.

Mein Weg :
1. Grundlagen mit diesem Buch https://www.amazon.de/dp/3446448276/ref=cm_sw_r_cp_dp_T2_orUEzb1CXC9DV
2. Internet Recherche
3. Als Günstige Hardware welche alle Möglichkeiten mitbringt (VLAN, verwalten von Verschiedenen Netzen usw.) kann ich unbedingt Mikrotik empfehlen ! Auf der Basis gibt es sehr gute deutsche Tutorials welche unter anderem auch die Konfiguration der Mikroiks bzgl. verschiedene Themen zeigen. Schau dazu unbedingt auf YouTube nach Pascom Brothers !
4. Probieren, Probieren, Probieren... ;)

Zu Deinem Szenario :
Es gibt immer verschiedene Wege. Eine Möglichkeit wäre in der Tat die Verschiedenen Netze per VLAN auf Layer II zu trennen. Des weiteren bekommt jedes Netz seine eigenen DHCP Server + IP Adressraum auf Layer III. Welche dann mit entsprechenden Firewall "forward" Regeln den Datenfluss untereinander sperren / zulassen.

Grüße
Marcus
 
Bei uns sind sie so streng dass es heißt "Netzwerke unterschiedlicher Schutzstufe dürfen nicht per VLAN Trennung auf der selben Hardware laufen".
Ist immer Abwägungssache. Aus einem VLAN kann ein entsprechend fähiger Angreifer ggf. ausbrechen.

Alles was aus Sicherheitsgründen getrennt gehört braucht entsprechende Firewalls dazwischen.
Alles was vergleichbar vertrauenswürdig ist wird auf den Switches geroutet (dazu gehört z.B. das normale PC Netz und das VoIP Netz).

Letztendlich sind sowas alles Designentscheidungen. Da kann es Beispiele geben aber was dir sicher genug erscheint musst du selbst entscheiden.
 
Danke. Ich werde es so machen, wie Du es geschrieben hast.

Siehst Du noch andere Möglchkeiten, wie ich das Problem lösen könnte?
 
Ja. Da es sich so liest, als ob dass für ein Unternehmen erstellt wird, solltest Du ernsthaft das Beiziehen eines Netzwerkspezialsten erwägen.
 
Ja, kann schon sein. Aber ich dachte, ich würde das gerne selbst lernen um ggf. später selbst Änderungen vornehmen zu können.
 
kawakawa schrieb:
4 Access Points
Zum Vergrößern anklicken....
Die sind am gefährlichsten. Die gehören nur über VPN ins Firmen LAN eingebunden, d.h. Access Points in eine Art DMZ packen und dort den direkten Zugriff aufs Internet erlauben, aber den Zugriff aufs interne Netz nur über VPN erlauben. Surfen kann dann jeder auch mit Tabletts und Smart Phones, aber man kann nicht direkt aufs Firmennetz zugreifen, wenn es gelingt das WLAN zu knacken.

Firewalls sollten im Firmenumfeld nicht nur Packetfilter sein - sondern auch ALGs.

kawakawa schrieb:
Wie bewerkstellige ich, dass Zugriffe vom Normalen-Netz auf das Wartungsnetz genehmigt werden aber keine Zugriffe vom Wartungsnetz auf das Normale Netz?
Zum Vergrößern anklicken....
Das Wartungsnetz sollte keinerlei Zugriff auf das Internet haben, daher gibt es für dieses Netz keinen Router. Üblicherweise logt man sich am Server (der hat dann direkten Zugriff auf alle notwendigen Netze) ein, um von dort auf das Wartungsnetz zugreifen zu können. So kann niemand an einem Netzwerkport am Arbeitsplatz auf die Wartungsports zugreifen. Auch mit so etwas muss man rechnen. Mit Linux ist das eine simple Übung, bei Windows auf dem Server wirst Du wohl einen Terminalserver aufsetzen müssen, damit das geht oder irgend was mit VNC hinbiegen müssen. Gleiches gilt für das Netz für die Sicherheitskameras, kein Zugriff aufs Internet, nur die Kameras und die Server haben Zugriff darauf.
 
kawakawa schrieb:
Hallo,

ich suche nach Infos (Links ins Netz) und Literatur zum Thema Netzwerkdesign.

Ich möchte gerne, so wie die Profis, ein Firmennetz planen, mit den Unternetzen, wie einem Wartungsnetz und Gastnetzwerk, etc.

Bin Informatiker, aber hauptsächlich Softwareentwicklung.

Wie Netze funktionieren ist mir klar und habe auch schon öfter welche aufgebaut - aber nur einfache. Nichts mit VLans, etc.

Grüße
kawakawa
Zum Vergrößern anklicken....

Falls du ein Link suchst oder ein Buch, dass du lesen kannst und erwartest danach zu wissen wie Netzwerke geplant werden, dann muss ich dich enttäuschen. Es gibt eine fertige Lösung die auf alles passt. Jedes Design, welches du bei einem Berater beauftragst wird auf die Anforderungen des Unternehmens zugeschnitten. Ein Unternehmensnetzwerk eines Betriebs mit sehr vielen kleinen Filialen sieht radikal anders aus als das eines mit nur wenigen Branches und großem Hauptsitz. Netzwerke für kleine Unternehmen sind sogar so unterschiedlich, dass bspw. Cisco ein komplett unterschiedliche Dokumente und Geräte-Baureihen dafür zur Verfügung stellt. Eben weil die Anforderungen eines kleinen Unternehmens vollkommen anders sind.

Da ich selber nur in dem Bereich arbeite und dementsprechend darin zertifiziert bin, kann ich nur von Cisco reden. Sicherlich gibt es auch andere Vendors, die entsprechende Dokumente bereitstellen. Im Grunde genommen lernst du, falls du dich für das Design von Netzwerken interessierst, nur Richtlinien die beachtet werden können aber nicht müssen. Im Grunde genommen sieht der Prozessablauf wie folgt aus: Vorbereiten -> Planen -> Design -> Umsetzen -> Ausführen -> Optimieren

Was die Schritte im einzelnen bedeuten kannst du nachschauen wenn du nach "ppdioo" googlest. Aber grob gesagt geht es darum sich die Zielsetzung des Kunden anzusehen und wie er diese umsetzen will (Sachen wie Budget, gewünschte Features, Bestimmte Vorstellungen/Sonderwünsche), dann schaust du dir den IST-Stand an und überlegst wie du dahin kommst und entwirfst nach den Richtlinien und gesammelten Informationen das neue Netzwerk. Das wird umgesetzt und von Dir während der ganzen Zeit über begleitet. Nachdem alles läuft und der Kunde zufrieden ist, kann über eventuell mögliche Optimierungen gesprochen.

Wie sieht so ein Netzwerk überhaupt aus? Um hier spezifischer zu werden, greife ich auch wieder auf Cisco Dokumentation zurück, Grund 1 habe ich oben genannt, Grund 2 ist, dass Cisco einer der großen Networking "Player" ist die schon so lange auf dem Markt sind, dass sehr viele andere Vendors sich das Design auch teilweise abschauen. Cisco empfiehlt hierarchische Netzwerktopologien aus dem Grund, dass Sie sehr gut skalierbar sind. Momentan wird der Trend der Borderless Network Architecture verfolgt. Das quasi jedes Gerät sich von überall verbinden kann. Ein kleines Übersichtsbild, wie sowas im groben Aussieht findest du hier:

wan-architectures-and-design-principles-43-1024.jpg


Wie du sehen kannst, ist das Netzwerk in mehrere Bereiche aufgeteilt, die (wie alles) von Unternehmen zu Unternehmen stark variieren. Die Core, Distribution und Access Switches liegen befinden sich im Enterprise Campus Network. An dieses wird dann sowas wie Internet Edge, WAN Aggregation oder ein Data Center geschraubt. Letzteres wird hier nicht behandelt, da das Thema Data Center so komplex ist, dass es dafür eigene Karrierepfade gibt und momentan hoffe ich, diesen nicht einschlagen zu müssen :). Wie so ein Campus Network design werden kann, gibt Beispielsweise dieses Dokument vor: PDF-LINK. Falls du etwas älteres suchst, gibt es hier etwas.

Falls du den neusten & heißesten Scheiß suchst, dann bist du bei Campus Fabric richtig. Das ist ein (recht) neues Architekturmodell für das Enterprise Campus Network, was das physische Design an sich nicht ablöst, sondern eher eine Art virtuelles Netzwerk "drauf legt". Die Vorteile liegen klar auf der Hand: Einerseits wird die Trennung von Netzwerken und rollenbasierender Zugriff erheblich vereinfacht und es fördert die Idee des Borderless Networks durch die Mobilisierung der Hosts über einzelne Netzwerke hinweg. Anderseits hilft es dadurch auch die Umsetzung GDPR die nächstes Jahr in Kraft tritt. Eine kleine Vorstellung davon gibt es in dieser Präsentation.

Im Prinzip ist es nur ein bisschen LISP, VRF und VXLAN. Aber am Ende doch ein wenig mehr als der durchschnittliche Netzwerkadministrator in einem kleinem Unternehmen betreut. Um nicht weiter zu schwafeln höre ich lieber auf und setze mich für eine Runde bf3 an den Rechner. :wink:
 
Anmelden, um zu antworten.

Ähnliche Themen

I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
958
Supaman
Supaman
T!tr0
Heimnetzwerkplanung EFH Neubau
Antworten
7
Aufrufe
763
Proph
Proph
G
[User-Review] Grandstream Access Points - bye bye Mikrotik
Antworten
25
Aufrufe
1K
Speeddeamon
Speeddeamon
Ben2407
[Kaufberatung] Mechanische Tastatur gesucht da alte langsam den Geist aufgibt
Antworten
3
Aufrufe
511
Morpheus600
Morpheus600
T
Frage zum besten Monitor für Homeoffice und PS5: Empfehlungen gesucht
Antworten
2
Aufrufe
163
Liesel Weppen
L
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh