Mehrere Subnetze Routen bzw. nicht Routen

[Ingorad 10]

Hallo zusammen,

 

ich stehe hier ein wenig auf dem Schlauch und bräuche einfach mal ein paar Überlegegungen von Externen die mir evtl. etwas aus meinem Denkloch heraushelfen.

 

Ich habe hier nun schon ein wenig Rumprobiert aber nichts wirklich entgültig passendes gefunden.

 

Aber nun zu meinem Problem:

 

Wir haben uns hier folgendes Überlegt:

 

Wir wollen / müssen 6 Subnetze einrichten ( Netzmaske 255.255.255.0 )

 

193.100.101.0 -> Projekt A

193.100.104.0 -> Projekt B

193.100.105.0 -> Projekt C

193.100.106.0 -> Projekt D

193.100.107.0 -> Projekt E

 

193.100.102.0 -> IT / TK

193.100.103.0 -> IT

 

 

Die Netze kommen bei uns in der IT alle auf einem Gigabit Port an.

 

Nun zu dem Problem, die Netzwerke sollen sich ansich nicht erreichen können. Also Projekt A darf nicht das Netz von Projekt B erreichen können, jedoch müssen alle Projekte auf das IT Netz zugreifen können und alle aus dem IT Netz auf alle Projekte.

 

Das sich die Projekte nicht erreichen gegenseitig können ist vorgabe vom AG.

 

So das sind erstmal alle Informationen zu dem Problem.

 

Ich würde gerne mal eure Lösungswege bzw. Ideen hören und Sie dann mit meinen Vermischen ^^.

 

MfG

 

Ingorad

[hegl 10]

Entweder müsst ihr die einrichten...

 

Wir wollen / müssen 6 Subnetze einrichten ( Netzmaske 255.255.255.0 )

 

193.100.101.0 -> Projekt A

193.100.104.0 -> Projekt B

193.100.105.0 -> Projekt C

193.100.106.0 -> Projekt D

193.100.107.0 -> Projekt E

 

193.100.102.0 -> IT / TK

193.100.103.0 -> IT

 

oder die kommen bei Euch an...

Die Netze kommen bei uns in der IT alle auf einem Gigabit Port an.

 

Ja watt denn nu?

[Ingorad 10]

Entweder müsst ihr die einrichten...

 

 

 

oder die kommen bei Euch an...

 

 

Ja watt denn nu?

 

Also momentan haben wir hier ( dank eines Vorgängers in der EDV ) ein /17 Netz.

 

Nun müssen alle voneinander getrennt werden, wie schon geschrieben durch anforderungen von AGs.

 

Jedes Projekt soll ein /24 Netz bekommen, da wir nicht abschätzen können wie die einzelnen Projekte wachsen.

 

Jedes Projekt ist physisch voneinander getrennt und laufen an einem Hauptverteiler zusammen.

 

Hoffe das hat geholfen :)

 

MfG

[Dukel 454]

In welchem Gerät ist der Gigabit Port? Ist es ein Router? Ist es ein Switch?

 

Gibts evtl. ein kleines Netzdiagram?

[Ingorad 10]

Hi,

 

momentan kommen alle Projekte getrennt voneinander über einen Gigabit Port im Serverraum an und laufen auf einem Hauptverteiler zusammen ( ebenfalls komplett gigabit )

 

Ein Netzdiagramm habe ich gerade nicht vorliegen ich versuche es mal eben zu veranschaulichen:

 

Clients Projekt A/B/C/D/E/IT -> Unterverteiler ( Switsch ) -> Gigabit Uplink -> Serverraum Hauptverteiler ( Gigabit Switch )

 

Also jedes Projekt hat einen eigenen Unterverteiler ( Switch ) auf dem alle Clients ankommen. Dieser ist dann mit einem Gigabit Uplink mit dem Hauptverteiler verbunden.

 

Hoffe das hilft, sonst muss ich bei Zeit schauen das ich ein Diagramm fertig bekomme ;).

 

MfG

[Dukel 454]

Ein Switch hift dir hier nicht. Du musst das ganze mit einem Router/Layer 3 Switch verbinden.

 

Btw. gehören euch die 193.100.x.x Netze?

[StefanWe 14]

Also entweder du nimmst einen Router mit 6 Interfacen oder du nimmst einen Switch, der VLAN kann und einen Router mit einem Interface.

 

Erste Lösung ist deutlich performanter und du Routest dann entsprechend zwischen den Netzen und trennst das ganze mit Access Listen.

(Du kannst auch eine Firewall als Router nutzen und mit FW Regeln das ganze trennen)

 

Bei zweiter Lösung, nimmst du den Router, und machst sogenanntes VLAN Routing. ( Router on a Stick( bei google mal eingeben) )

 

Was übrigens auch möglich ist, wenn dein Coreswitch VLAN Routing kann. Dann richtest du für jedes Subnetz ein VLAN an und Routest auf dem Switch. (Z.b. ein Cisco 3560) (für google: InterVLAN Routing)

 

Des weiteren solltest du dies wohl von einem Erfahrenen Systemhaus machen lassen, oder dich erst selbst ausgiebig mit Routing beschäftigen.

[Userle 145]

Also ich denek mal eine FW á la Astaro oder ähnliches ist hier die einfachere Lösung und IMHO auch die Lösung, die am einfachsten sich ändernden Bedingungen angepasst werden kann.

1. Du hast physikalisch getrennte Netze

2. Du kannst über die entsprechenden Packet Filter Rules den Zugriff sehr detailiert steuern.

3. zentrale Administrierbarkeit.

 

Greetings Ralf

[Ingorad 10]

Vielen dank für eure Antworten und Lösungen!

 

Unser Coreswitch kann VLAN, an die Lösung mit VLAN Routing hatte ich dann auch gedacht. Da ich mich bisher aber nur mit "normalem" Routing beschäftigt habe es erstmal hinten angestellt. Werde mich aber dort auf jeden Fall nun einlesen um dies mit euren anderen Lösungen abwägen zu können. Danke hierfür :).

 

Ich hatte hier zum Testen in einem Testnetz einen einfachen LANCOM Router mit 4 Interfaces verwendet. War mir aber nicht wirklich sicher ob die Lösung die Netze dort per FW Regel voneinander zu trennen die Optimalste wäre. Zudem bin ich im Hardware bereich was Route angeht nicht so weit informiert das ich sagen könnte die performance von Gerät XY würde reichen. Gibt es da erfahrungen von eurer Seite?

 

Die Hardware FW von Astaro z.B klingt für mich auch gut. Ich dachte nämlich anfangs an einen ISA Server um so die Netze per Regeln zu trennen. Hier war aber keine Physikalische trennung mehr gegeben und ich denke das die performance hier leiden würde.

 

Ich werde hier mal die Lösungen kurz an meinem Testnetz durchspielen und Feedback geben. Auch muss ich mal loswerden das ich die Antworten und die reaktionszeit hier echt bewundernswert finde! Tolles Forum, hier werde ich mich "niederlassen" ;).

 

Also bis später denn.

 

MfG

 

Andreas

[Ingorad 10]

So ich melde mich mal aus meiner Testumgebung.

 

Die Lösung mit einem Router ( oder eben eine HW FW ) ist die für uns ideale. Danke dafür.

 

Sobald auf dem Router alle Subnetze bekannt kann ich diese perfekt per Regeln voneinander trennen bzw. erlauben.

 

Nun bleibt die Frage nach geeigneter Hardware. Habt ihr da praxis Erfahrungen? Sollte schon performant sein und einen guten Durchsatz haben um einwandfreien Verkehr zu garantieren.

 

MfG

 

Andreas

[StefanWe 14]

Willst du denn für jedes Subnetz ein Interface ?

 

Wieviel Traffic geht denn zwischen den Subnetzen ?

Schau dir nen Cisco der 3900er Serie an. Und steck dann entsprechend Module nach, was du benötigst.

Ansonsten z.B. als Firewall eine Astaro ist ganz nett, wird aber bei 6 Interfaces auch entsprechend teuer.

[Ingorad 10]

Es wäre schon ganz gut wenn ich die Subnetze auch an einzelnen NICs habe.

Nicht nur für unsere Administrative sondern auch für die AGs. Bei den Zertifizierungen gibts so weniger Diskusionsbedarf.

 

Ich habe mit Astaro mal Kontakt aufgenommen, das Szenario kann die Hardware abbilden und bei entprechender Dimensionierung habe ich auch genügen Traffic die dort durchgeht.

 

Genau muss ich das noch Analysieren, aber in jedem Subnetz wird mit unterschiedlichen Clients auf SQL DBs zugegriffen die im IT Netz liegen. Dazu WebProxy, Exchange, VPN, VOIP etc. Deswegen möchte ich da auch auf der sichern Seite bleiben was den Datendurchsatz angeht.

 

Bei dem Gerät was ich momentan im Auge habe, wären das 1,8 Gbit / S durch die FW.

 

MfG

 

Andreas