mmih 10 Geschrieben 12. Oktober 2008 Melden Teilen Geschrieben 12. Oktober 2008 Hi, ich soll ein Netzwerk mit folgenden Vorgaben aufbauen: 3 D-Link DGS3324SR (Layer 3) Switche, miteinander verbunden PCs in 7 Abteilungen (Windows, Mac, Linux, Unix), alle in einem Adresssegment Teilweise Adressbezug per DHCP, teilweise fest eingestellt. Die Systeme sind derzeit in einem Netzwerk untergebracht. Den Adressbereich kann ich nicht verändern, ebenso darf ich die IPs der Systeme mit fest vergebener IP-Adresse nicht verändern. In Zukunft sollen die Abteilungen voneinander getrennt werden. Es soll nur noch Abteilungs-übergreifend auf Server, das Internet sowie bestimmte Rechner in den anderen Abteilungen zugegriffen werden können. Weiterhin soll der Internetzugang durch einen neuen W2K3 Server mit ISA Server abgesichert werden. Für ggf. weitere benötigte Dienste könnte ich einen weiteren neuen W2K3 Server in Betrieb nehmen. Ich habe mir folgendes überlegt, weiß aber nicht genau ob das funktionieren wird, weshalb ich hier um Rat frage: Einrichtung von 7 VLANs (für jede Abteilung ein VLAN) auf dem Switch (womit ich immer den 3er-Verbund meine). Anschließend würde ich dann port-basiert die Rechner den VLANs zuordnen, auf die sie zuordnen dürfen. Server-Ports ordne ich allen VLANs zu, Systeme in den Abteilungen nur dem jeweiligen Abteilungs-VLAN. Anstelle des jetzigen DSL-Routers schließe ich den ISA-Server an einen Port an, den ich ebenfalls allen VLANs zuordne. Der ISA bekommt die IP des Routers und der Router (an einer weiteren Netzwerkkarte des ISAs eine neue in einem anderen Adressbereich). Das einzige System, welches Port-Tagging unterstützt ist der neue ISA Server; bei allen anderen Geräten ist eine Anpassung nicht möglich. Der ISA verfügt im übrigen über eine Intel Quad-Port Netzwerkkarte. Ist so gewährleistet, dass ein W2K3 Server mit installiertem DHCP- und DNS-Server, der Zugang zu allen VLANs hat alle Clients mit IP-Adressen versorgen kann? Was muss ich alle am Switch konfigurieren, damit ein Server (in allen VLANs) Daten (im Optimalfall) nur an das gewünschte VLAN bzw. (u.a. DHCP?) an alle VLANs sendet, wenn der Server nicht mit VLANs umgehen kann. Für Tipps bin ich sehr dankbar! Martin Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 12. Oktober 2008 Melden Teilen Geschrieben 12. Oktober 2008 Die Systeme sind derzeit in einem Netzwerk untergebracht. Den Adressbereich kann ich nicht verändern, ebenso darf ich die IPs der Systeme mit fest vergebener IP-Adresse nicht verändern. Deine Anforderungen wiedersprechen sich. Deine weiteren Ideen funktionieren schlichtweg nicht. Überleg dir das gesamte Konzept nochmal von vorne, was du erreichen willst. Um ein Renumbering wirst du meiner Meinung nach nicht herumkommen. Beachte auch das die ISA-Firewall nachher ein SPOF ist. Zitieren Link zu diesem Kommentar
mmih 10 Geschrieben 12. Oktober 2008 Autor Melden Teilen Geschrieben 12. Oktober 2008 Alle Systeme sind im Adressbereich 192.168.1.x untergebracht. Die Unterteilung in VLANs nehme ich Port-basiert vor. Wenn ich die Netzwerke nach Abteilungen unterteile (je Abteilung ein VLAN) ist zunächst die Kommunikation innerhalb der Abteilungen möglich. Anschließend habe ich noch Server, die von mehreren Abteilungen genutzt werden. Diese ordne ich jeweils den VLANs aller zugriffsberechtigten Abteilungen zu. Der ISA wird ebenfalls allen VLANs zugeordnet und bekommt die jetzige IP des Routers. Dadurch kann ich sicher stellen, dass kein Client umgestellt werden muss. Auf dem ISA richte ich nun für alle VLANS eigene NICs (über den Intel Treiber, zunächst Trunking auf die 4 GBit-Ports) ein. DHCP, DNS und WINS leite ich per Relay auf den zweiten neuen Server weiter. Für abteilungsübergreifende Zugriffe (es gibt Systeme in einer Abteilung, die nur bestimmte Nutzer aus anderen Abteilungen nutzen dürfen) richte ich auf dem ISA Routen ein. Falls nun der ISA (wovon ich ein Image vorhalten will und die Hardware in 2facher Ausfertigung direkt daneben habe) ausfallen sollte könnte ggf. ein einfacher Router ausreichen!? Gemäß meiner Interpretation sollte ich somit keinen SPOF haben, oder etwa doch? Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 12. Oktober 2008 Melden Teilen Geschrieben 12. Oktober 2008 Alle Systeme sind im Adressbereich 192.168.1.x untergebracht. Die Unterteilung in VLANs nehme ich Port-basiert vor. Ich kenne D-Link Switches nicht - was heisst das technisch konkret? Ein Access Port mit einem untagged VLAN? Wenn ich die Netzwerke nach Abteilungen unterteile (je Abteilung ein VLAN) ist zunächst die Kommunikation innerhalb der Abteilungen möglich. Soweit so klar. Anschließend habe ich noch Server, die von mehreren Abteilungen genutzt werden. Diese ordne ich jeweils den VLANs aller zugriffsberechtigten Abteilungen zu. Untagged? Du kannst nicht mehrere untagged VLANs auf den selben Access-Port schieben. Zumindest nicht bei den Switches die ich kenne (vorallem weils auch ne ****e Idee ist). D-Link kann das? Hast du das mal getestet? Der ISA wird ebenfalls allen VLANs zugeordnet und bekommt die jetzige IP des Routers. Dadurch kann ich sicher stellen, dass kein Client umgestellt werden muss. Auf dem ISA richte ich nun für alle VLANS eigene NICs (über den Intel Treiber, zunächst Trunking auf die 4 GBit-Ports) ein. DHCP, DNS und WINS leite ich per Relay auf den zweiten neuen Server weiter. Wie soll das denn funktionieren? Der ISA kann nicht auf 4 NICs die gleiche IP-Adresse haben. Ausserdem hast du dann immer noch keine Firewall zwischen Clients & Server. Für abteilungsübergreifende Zugriffe (es gibt Systeme in einer Abteilung, die nur bestimmte Nutzer aus anderen Abteilungen nutzen dürfen) richte ich auf dem ISA Routen ein. Und wie sollen die aussehen? Ist ja alles das gleiche Netz, auf IP-Ebene. Falls nun der ISA (wovon ich ein Image vorhalten will und die Hardware in 2facher Ausfertigung direkt daneben habe) ausfallen sollte könnte ggf. ein einfacher Router ausreichen!? Gemäß meiner Interpretation sollte ich somit keinen SPOF haben, oder etwa doch? Ich behaupte was du da vorhast funktioniert nicht. Mit Gewissenheit sagen könnte ich das wenn ich mal mit einem D-Link Switchen testen könnte. ABER: Der ISA wird dann immer noch nicht funktionieren, die Rechner kommen nicht ins Internet. Es gibt nur eine richtige Lösung: Renumbern. Pro Abteilung ein Subnet, und für die Server ein Subnet. Den ISA dann als redundantes Array auslegen. Zitieren Link zu diesem Kommentar
mmih 10 Geschrieben 12. Oktober 2008 Autor Melden Teilen Geschrieben 12. Oktober 2008 Ich kenne D-Link Switches nicht - was heisst das technisch konkret? Ein Access Port mit einem untagged VLAN? D-Link DGS-3324SR, Revision A, Seite 75 (letzter Absatz) In dem Beispiel sind 2 VLANs angelegt, VLAN 1 mit den Ports 1, 2, 3 und 4 sowie VLAN 2 mit den Ports 1, 5, 6 und 7. Port 1 kann gemäß Beispiel von beiden VLANs erreicht werden. Link: ftp://files.dlink.com.au/products/DGS-3324SR/Manuals/DGS-3324SR_Manual.pdf Untagged? Du kannst nicht mehrere untagged VLANs auf den selben Access-Port schieben. Zumindest nicht bei den Switches die ich kenne (vorallem weils auch ne ****e Idee ist). Es gibt nur eine richtige Lösung: Renumbern. Pro Abteilung ein Subnet, und für die Server ein Subnet. Den ISA dann als redundantes Array auslegen. Also wiefolgt: VLANs für jede Abteilung erstellen, diesen jeweils eigene IP-Bereiche verpassen. Für jedes VLAN eine NIC im ISA bereitstellen. Soweit erforderlich Routen zwischen den Netzen auf dem ISA erstellen, Zugriffsrechte über Firewallrichtlinien. Als Gateway auf allen Rechnern den ISA eintragen, als DNS den zweiten Server (DNS, DHCP, WINS). Den ISA als Relay für DHCP konfigurieren. OK? Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 12. Oktober 2008 Melden Teilen Geschrieben 12. Oktober 2008 VLANs für jede Abteilung erstellen, diesen jeweils eigene IP-Bereiche verpassen. Für jedes VLAN eine NIC im ISA bereitstellen. Du brauchst auch noch ein VLAN für die Server. Und für die VLANs im ISA kannst du auch einfach tagged fahren und dann mit LACP genug Bandbreite zur Verfügung stellen. Zitieren Link zu diesem Kommentar
mmih 10 Geschrieben 12. Oktober 2008 Autor Melden Teilen Geschrieben 12. Oktober 2008 Du brauchst auch noch ein VLAN für die Server. Und für die VLANs im ISA kannst du auch einfach tagged fahren und dann mit LACP genug Bandbreite zur Verfügung stellen. Klar, die Server bekommen ein eigenes VLAN. Meine derzeitige Testumgebung sieht sogar so aus! Allerdings funktioniert die Namenauflösung nicht richtig. Auf dem ISA-Server habe ich ein DHCP-Relay auf einen anderen Server (Backupserver) einrichtet - funktioniert auch in allen Netzen. Auf dem Backupserver laufen derzeit DNS, DHCP und WINS. Eine Domäne gibt es nicht, dies ist auch nicht beabsichtigt. Allerdings funktioniert die Namenauflösung noch nicht richtig. Ich kann externe Namen über den DNS-Server auflösen, allerdings intern nur den Namen des Backupservers. Anpingen kann ich alles. Das bedeutet wohl, dass der DNS-Server keinerlei Informationen über lokale Systeme (einschließlich dem ISA-Server) bekommt - was muss ich hierzu einstellen? Das Problem tritt übrigens bei Testsystemen mit über DHCP bezogener wie auch mit fest eingestellter IP-Adresse auf. Anpingen kann ich die Rechner. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.