Archiv des Monats: April 2011

mehrteilige Artikelserie: Umstellung auf VLANs?

In dieser Artikelserie möchte ich den Umstieg auf VLANs erläutern und erleichtern…

  1. Grundsätzliches
  2. Kann eine bestehende Microsoft-Infrastruktur (mit Active Directory) nachträglich in VLANs unterteilt werden?
  3. Die Einkaufsliste (Layer2 vs Layer3)
  4. Woher weiss mein Netzwerk, aus welchem VLAN der Traffic stammt?
  5. Welche IP-Adressen sollen wir verwenden?
  6. Was machen wir nun mit DHCP?
  7. Wie schützen wir die einzelnen Netzwerke gegen Angriffe aus anderen Netzwerken?
  8. Wie bauen wir eine Verbindung ins Internet auf – die Bedeutung von „default Gateway“? 
  9. Abschluss: die Kontrolle

VLAN – Einstieg: Was ist ein VLAN?

Die Grundidee, die hinter dem Konzept von VLANs (Virtuelle Netzwerke) steht, lässt sich einfach formulieren:

Es können einzelne Netzwerke voneinander „abgeschottet“ werden.

Warum wollen wir diese „Abschottung“?

  • Wir können Zu- bzw. Angriffe in definierte Netzwerke gezielt verhindern
  • das Schulnetz kann nur noch partiell angegriffen werden
  • Fehler können viel rascher lokalisiert werden
  • ein Totalausfall des gesamten Netzwerks wird viel unwahrscheinlicher
  • das Netzwerk gewinnt enorm an Geschwindigkeit, weil unnötiges Broadcasting minimiert wird Weiterlesen

VLAN – Teil 1: Die Einkaufsliste (Layer2 vs Layer3)

Da wir durch die Trennung in Virtuelle Netzwerke das selbe Ergebnis erzielen, als würden wir die Netze physikalisch trennen, brauchen wir die Möglichkeit, zwischen den Netzwerken zu routen.

Wenn wir einen Blick auf das ISO/OSI – Modell werfen, so sehen wir, dass sich erst ab Layer 3 das IP-Protokoll dazu gesellt. Genau dieses Protokoll benötigen wir aber, um zwischen Netzen, die in unterschiedlichen IP-Adress-Bereichen liegen, zu vermitteln.
Ergo lautet der Name dieser Layer 3 – Schicht auch: Vermittlungsschicht. Weiterlesen

VLAN – Teil 3: IP-Addressierung – Routing – ISA-Server

Step-by-Step-Anleitung: IP-Adressierung und Routing in VLANs inkl. ISA-Server

Es eignen sich mehrere IP-Adressbereiche für die internen Adressen:
10.0.0.0 bis 10.255.255.255
172.16.0.0 bis 172.31.255.255
192.168.0.0 bis 192.168.255.255

ich verwende in diesem Beispiel: 172.16.0.0 bis 172.16.4.0

zur Subnetzmaske:

sie gibt Aufschluss über die Größe des jeweiligen Netzwerks.
wir verwenden 255.255.255.0 → es stehen uns 255 Adressen im jeweiligen Netz zur Verfügung

Anmerkung: man kann obige Entscheidung (172.16.1.0 + 255.255.255.0) auch wie folgt angeben: 172.16.1.0/24

Nun soll unser Netzwerk (wir kennen es schon aus Artikel 2) wie folgt aussehen:

Unser Problem nun: Weiterlesen

VLAN – Teil 4: DHCP und VLANs (inkl. WDS)

Step-by-Step Anleitung: Konfiguration eines DHCP-Servers unter Windows bei der Verwendung von VLANs

Inhalt des heutigen Artikels:
Wie konfiguriert man den Layer3-Switch und den in in Windows Server 2003 bzw. 2008 integrierten DHCP-Server für die Verwendung von VLANs richtig?

In Teil 2 dieser Serie habe ich bereits die Bedeutung von VLAN-TAGS (IEEE 802.1Q) angesprochen. Auch der DHCP-Server verwendet diese TAGS, um den Clients die richtigen Adressen aus dem jeweiligen VLAN zuzuteilen.

Leider ist es mit den TAGs alleine aber noch nicht getan! Wir brauchen noch eine weitere Technologie:

den sogenannten DHCP-Helper (oder DHCP-Relay genannt) Weiterlesen

VLAN – Teil 5: Access Lists

Step-by-Step-Anleitung: Einrichtung von Access Lists (ACL) zur „Isolierung“ der VLANs

Nachdem wir in den Artikeln 1 bis 4 erfolgreich VLANs konfiguriert haben, wollen wir nun voneinander isolieren – dies ist ja schließlich Zweck der Umstellung auf VLANs.

(Ohne Access Lists [ACL] sind VLANs nur der halbe Spass – es wird lediglich das Broadcasting stark reduziert, was zu einem Performancegewinn führt;
aus Sicherheitstechnischem Blickwinkel haben wir aber ohne ACLs noch nichts erreicht!

Für Access Lists gilt: Weiterlesen

VLAN – Teil 6: „Default Gateway“ – wir wollen ins Internet…

Step-by-Step-Anleitung: VLAN und die Bedeutung von „Default Gateway“ für den Internetzugang

Nachdem wir im LAN bereits Alles funktioniert, wollen wir noch ins Internet. Hier kommt nun dem „Default Gateway“ besondere Bedeutung zu.

Wenn man so will, dann könnte man „Gateway“ mit „Ausfahrt“ und „default“ mit „Standard“ übersetzen, und hätte damit die Hauptaufgabe des „default Gateway“ – der STANDARDAUSFAHRT verstanden… Weiterlesen

VLAN – Teil 7: eine bestehende Struktur in VLANs aufteilen – geht das?

Step-by-Step-Anleitung: Umstrukturierung eines 172.16.x.y/16 Netzes in viele VLANs mit 172.16.x.0/24

Viele SchuladministratorInnen (zumindest in Österreich) haben ihr Netz einst nach der Step-by-Step-Anleitung von Koll. Georg Steingruber (dem dafür aufrichtiger Dank gebührt) konfiguriert…(hier die Links dazu)
Damit haben sie ein [riesiges] Netz mit der Adressierung 172.16.x.y mit der Subnetzmaske 255.255.0.0

Nachdem die meisten Schulen in der Zwischenzeit auch Notebookklassen haben (in der BHAK Neusiedl am See gibt es z. B. zwischen 7 und 9 Klassen mit je ca. 25 Notebooks), ist es keine Seltenheit, wenn im Schulnetz an die 350 PCs (Schulungsraum u Notebooks) „unterwegs“ sind.

Wenn KEINE Umstellung in VLANs erfolgt, dann kann dies folgende Probleme nach sich ziehen: Weiterlesen

VLAN – Teil 8: Kontrolle

Nach den nun erfolgten Arbeiten möchte man natürlich kontrollieren, ob die PCs / Benutzer auch im richtigen VLAN sind bzw im richtigen Subnetz bzw. in der richtigen Organisationseinheit.

Problem:
Mit Windows Boardmitteln ist eine Zusammenführen aller nötigen Informationen bzgl der jeweiligen Subnetze nicht möglich, da es keine Schnittstelle zwischen
DHCP bzw. Active Directory Organisationsstruktur bzw. angemeldeten Benutzern gibt!

Daher benötigt man zusätzliche Software, die diese Schnittstelle herstellt.

Lösung:
Eine günstige Möglichkeit stellt hier das Megatool ADMINOMAT dar.

ADMINOMAT kann auf jedem Client innerhalb der Domäne ohne Installation gestartet werden.
Es liest das Active Directory aus, den DHCP-Server und ermittelt aktuell angemeldete User.
Auf Wunsch zeigt es die gemappten Drucker, das Installationsdatum, die Uptime und und und jedes PCs an.

Dadurch lässt sich einfachst kontrollieren, ob die Unterteilung in VLANs optimal umgesetzt wurde bzw. ob einzelne Clients noch in falschen Subnetzen „herumschwirren“.

Tipp: Sollte ein PC in einer falschen Organisationseinheit sein, kann er direkt mit ADMINOMAT in eine andere verschoben werden durch einen Klick auf arrow

Kontrolle_VLAN_Struktur

ADMINOMAT läuft als Testversion gratis!