generelle Frage zum Aufbau eines Firmen-Netzwerkes

[Novatast1c]

Hallo,

ich habe eine grundlegende Frage zum Aufbau eines Firmennetzwerkes.
Um unhilfreichen Kommentaren vorzubeugen; ich habe nicht vor, ein Firmennetzwerk aufzubauen, der Thread dient lediglich zur Erweiterung meines Wissens.

Nehmen wir an, ich habe in einem Netzwerk mehrere Drucker, mehrere PCs, mehrere Notebooks, ein Handy-WLAN und ein Gast-WLAN.

Es handelt sich um ein privates Class C Netzwerk mit 192.168.0.0

Es bietet sich ja an, dass die PCs einen eigenen IP-Range bekommen, genau wie alle anderen Teilnehmer.

Und hier komme ich ins Schleudern.
Mein Gedanken kann wäre dann:
Server:
Subnetz: 192.168.0.0/24
Host-Range: 192.168.0.1 - 192.168.0.254

PCs:
Subnetz: 192.168.1.0/24
Host-Range: 192.168.1.1 - 192.168.1.254

Notebooks:
Subnetz: 192.168.2.0/24
Host-Range: 192.168.2.1 - 192.168.2.254

die Netze für WLANs und Drucker könnt ihr euch sicher denken

Als Subnetzmaske nehmen wir mal überall 255.255.255.0

Wie bewerkstellige ich es nun aber, dass sich die Notebooks und PCs untereinander erreichen, sowie auch auf die Server und Drucker zugreifen können - aber die WLANs überhaupt nicht auf das Netzwerk zugreifen können bzw. evt. auf die Drucker?

Ist wohl eine recht simple Frage in der Netzwerktechnik, aber ich würde mich über etwas Nachhilfe freuen, danke.

lg

 

[Sebbi]

Router mit entsprechenden Routeneinträgen

Ohne Router würde es eh nicht gehen, da die einzelnen Netzwerke sich eh nicht untereinander sehen, da jede Gruppe in einen anderen Netz ist.

Sollten ausreichend Infos sein, der Rest ist Selbststudium, wenn du es wirklich lernen willst und das keine Hausaufgaben sind!

 

[dreieier]

Man könnte es auch mit einem Netz machen und die einzelnen Bereiche mit VLANs abgrenzen/verbinden.
Die Konfiguration geschieht auf einem managed Switch. VLANs sind auf Layer 2 und damit etwas schneller als Subnetting (Layer 3)

 

[Sebbi]

nope romanic ... die sehen sich ja eh schon nicht und ohne die Anzahl der netzwerkkomponenten zu kennen, müssen wir bei den vorgaben bleiben .... aber wie gesagt, die oberen Infos sollten ausreichend sein, sonst tritt der Lerneffekt nunmal nicht ein

Und wenns Hausaufgaben sind, helfen wir hier eh nicht weiter !

 

[Novatast1c]

Sollten ausreichend Infos sein, der Rest ist Selbststudium, wenn du es wirklich lernen willst und das keine Hausaufgaben sind!

Sind's nicht, hab die Ausbildung hinter mir, nur das Thema Subnetzbildung und Routingtabellen habe ich etwas verpennt.

Du sprichst Router an, dann können doch auch Layer3-Switche genutzt werden, richtig?

Falls mein eingestaubtes Wissen korrekt ist

Man könnte es auch mit einem Subnetz machen und die einzelnen Bereiche mit VLANs abgrenzen/verbinden.

Sehe ich das richtig, dass bei der Subnetzmaske 255.255.255.0 trotz verschiedener VLANs trotzdem insgesamt nur 254 Clients (verteilt auf Drucker, Server, Rechner, Notebooks, etc) genutzt werden können?

D.h. alle sind im Subnetz 192.168.1.0?

lg

 

[Skynet7]

Viele wege führen nach Rom, was hätte den die fiktive Firma den für ein Budget für das geplante Netzwerk übrig?

 

[d2boxSteve]

Wenn dir das Netz zu klein ist mit 254 Clients dann nimm doch:

192.168.0.0/22 ( 192.168.0.1 - 192.168.3.254 )
192.168.0.4/22 ( 192.168.4.1 - 192.168.7.254 )
192.168.0.8/22 ( 192.168.8.1 - 192.168.11.254 )

Das sind dann über 1000 Geräte pro Netz :=)

 

[dreieier]

Ich denke ja. Aber da wären wir wieder bei einem Layer 3 Switch. Da kann man das Netz per VLANs aufteilen

192.168.1.1 - 192.168.1.50
192.168.1.51 - 192.168.1.100
192.168.1.101 - 192.168.1.150 etc.

und logisch untereinander verbinden geht auch.

 

[Novatast1c]

Viele wege führen nach Rom, was hätte den die fiktive Firma den für ein Budget für das geplante Netzwerk übrig?

Naja, was ist der breitgetretenste Weg - mein Gedankengang wird ja wohl üblich sein oder nicht?

 

[Raijin]

Naja, wenn man schon von Lerneffekt spricht, sollte man vielleicht auch noch erwähnen, dass das Setup so nicht unbedingt sinnvoll ist. Die Unterscheidung zwischen Laptop und PC leuchtet mir nicht ein. Klar, der Laptop kann mobil sein, aber das rechtfertigt in meinen Augen kein eigenes Subnetz oder eine andersartige Trennung vom Netzwerk.

Trennungen in einem großen Netzwerk werden wohl eher durch den Standort definiert (EG, x.Etage, etc.) oder aber durch logische Gruppierung (zB Abteilungen o.ä.). Warum man jetzt quer durch die Firma alle Notebooks in ein Subnetz (oder VLAN) packen sollte, erschließt sich mir nicht wirklich.

Beim WLAN ist das schon etwas anderes. Gerade wenn man zB ein Gast-WLAN hat. Dieses will man explizit vom Rest trennen, egal ob dort nu ein Smartphone, Tablet, Laptop oder PC im WLAN hängt. Ähnlich ist es mit Geräten aus der Infrastruktur, die man auch gerne IP-mässig gruppiert. Ob das nu aber durch ein Subnetz/VLAN inkl. Routing sein muss, sei mal dahingestellt.

Mit jedem Subnetz/VLAN steigt die Komplexität des gesamten Konstrukts. Der Wartungsaufwand sollte nicht unterschätzt werden. Wenn man das nicht sehr sorgfältig plant und durchführt, klingelt bei der IT jeden Tag das Telefon, weil Susi Musterfrau mit ihrem Laptop nicht auf dem Drucker drucken kann obwohl das bei ihrem Kollegen Max Mustermann gegenüber am PC geht...

 

[Sebbi]

Layer3 Switch ist ehrlich gesagt etwas falsch die Bezeichnung, es sind halt ne Kombinationen aus Router und Switch. Sprich das was nen Router ausmacht. Sozuagen Layer3 Switch = Router

Dort stöpselst du eben deine Netzwerkkomponenten (am besten einen echten Switch/AP von einen Netz ) ein, dann trägste die Routen ein die möglich sein sollen und fertig.

VLAN gedönse kann man zwar machen, find ich aber eher umständlich.

zum Thema Routingtabellen mal was schönes zum lesen

http://webkompetenz.wikidot.com/wp:gateways-und-routing-tabellen

 

[Skynet7]

Naja, was ist der breitgetretenste Weg - mein Gedankengang wird ja wohl üblich sein oder nicht?

Noja, da gibt's viele Möglichkeiten... angefangen von der einfachen Lösung per Subnet Trennung, dann noch über VLAN's, bis hin zu diversen Edellösungen mit DMZ, Hardware Firewalls auf zwei ebenen, Traffic gemanagt per QoS, und und und. Meiner Meinung nach schon eine Interessens & Geldfrage.

PS: der IT-Grundschutz-Katalog vom BSI enthält auch einige Empfehlungen & Bsp.. bereit.

 

[Raijin]

Es kommt natürlich auch darauf an wie man mit Zugriffsrechten umgehen will. Eine Routingtabelle ist nur ein Wegweiser wo es denn langgeht, wenn man zur IP von DruckerXY möchte. Sobald die Route steht, können alle Drucker dahinter erreicht werden. Möchte man nun aber spezielle Drucker für das Gäste-WLAN freigeben/sperren, sind Routingtabellen nicht das richtige Mittel. Da kommt dann eine Firewall ins Spiel, die Zugriffe vom Gäste-WLAN nur auf einzelne Drucker/IPs erlaubt - auch wenn es eine Route zu "allen Druckern" gibt.


Daher kann man meiner Meinung nach gar keine allgemeingültige Antwort geben. Der "breitgetretenste Weg" ist davon abhängig welche Anforderungen an das Netzwerk gestellt werden. Möchte man die Drucker nur schön aufgereiht mit ähnlichen IPs haben, kann man subnetten bis man schwarz wird. Möchte man aber gezielt Traffic zulassen bzw. blockieren, ist schlichtes Routing ungeeignet. Simples Beispiel: Wenn man bei einem PC die Standard-Route (=>Standard-Gateway) entfernt, hat er keine Internetverbindung. Mission erfüllt - bis sich jemand 5 Sekunden Zeit nimmt und das Gateway wieder einstellt.