Tool zum Netzwerkplan erstellen

[Smily]

Moin,

ich suche für unseren Betrieb eine Software, welche automatisch und zuverlässig Netzwerkpläne erstellt.
Wir haben einen Hauptstandort mit 14 Switchen, dementsprechend viele Geräte.
Dazu noch 4 kleinere Standorte, wo nur je 1 Switch mit 24 oder 48 Ports ist.

Jetzt hat die Geschäftsführung entschieden, das muss dokumentiert werden. Manuell in Visio oder so, keine Chance.
Wo sitzt Kamera XY? An welchem Switch und an welchem Port dort?
Aktuell weiß niemand wo was stecken könnte. Geht ein Drucker nicht, geht das Suchen los.

Wir haben auch ein Systemhaus, was für große Sachen zuständig ist, und auch das Patchen der Systeme übernimmt, es gibt ein Sicherheitsscreening usw. Sie bieten zwar HPE IMC (Intelligent Management Center), das sprengt aber glaube ich unseren Rahmen. Und sie bieten an, uns einen Netzwerkplan auf Anfrage zu erstellen. Aber das kostet sicher Geld, und außerdem rennt man dann ständig hinterher. Einer stöpselt sein Telefon um, Plan wieder falsch.

Wir sind Hagebau Gesellschafter, die Hagebau selbst empfiehlt lansweeper.com, was ich 14 Tage teste.
Für 100 Assets kostenlos, reicht aber niemals. Danach 199 € im Monat, und das ist heftig viel!
Das Tool kann natürlich eine Menge. Installation war super einfach. Es analysiert jeden Server, deckt Sicherheitslücken auf, scannt die gesamte AD, alle User, alles. Aber nicht für 200 € im Monat!

Dann hatte ich Docuscnap gefunden.
Installation deutlich komplizierter, aber habe da eine Ansprechpartnerin bekommen. Testzeitraum 30 Tage.
Kann auch wirklich viel, manches kann Lansweeper besser. Aber eigentlich ist auch das zu viel vom Umfang. Preis 35 € im Monat wäre aber OK. Erstellt auf Wunsch automatisch täglich neue Netzwerkpläne.

Habt ihr einen Tipp? Es reicht eigentlich ein (interaktiver) Netzwerkplan. Ich suche eine IP, MAC, Hersteller, Gerätename und der zeigt mir, hängt am Switch 12 an Port 22.
Und ich schaue mir den Switch an, und sehe alle Geräte, die dran hängen.

Es sollte schon zuverlässig sein. Gibt es da was kostenfreies? Oder ein schönes, einfaches Tool? Vielleicht hat einer ja einen schönen Tipp.

Danke
Smily

 

[Mojo1987]

Ich suche eine IP, MAC, Hersteller, Gerätename und der zeigt mir, hängt am Switch 12 an Port 22.

Ich habe schon mit Docusnap aber auch anderen Varianten in die Richtung gearbeitet und ich kann dir sagen: Automation im Sinne von Erfassen der Grunddaten machen die alle mehr oder weniger gleich. Bei keinem der Lösungen wirst du aber drum rum kommen selbst nachzubessern oder Dinge eintragen zu müssen, welche du vorher manuell nachvollziehen musstest.

Das fängt damit dann das manche Switches gar nicht die benötigten Informationen bereitstellen oder angeschlossene Endgeräte so rudimentäre Daten ausgeben, das damit wenig anzufangen ist.

Software kann da unterstützend wirken aber nie vollumfänglich automatisiert Out of the Box.

Die Erstellung des Planes ist ja der letzte Step und der einfachste, die Datenpflege dafür ist die Crux. Die Pläne von Docusnap als Endergebnis fand ich da immer ganz gut.

 

[Sebbi]

hmmm also für eine einfache Netzwerkumgebungskarte haben unsere Teams immer Nmap/Zenmap genommen.

Die Anforderung, das man nun sieht, wo auf welchen Port das Device hängt, ist immer auch von dem entsprechenden Switch abhängig gewesen. Bei einigen konnte man das auslesen, bei anderen nicht.

 

[Tornhoof]

Wir hatten mal so ein Monster von Solarwinds (SolarWinds NTM) im Einsatz (vorm Solarwinds Hack), aber zumindest kann ich gerade aktiv keine Installation mehr finden, alle Diagramme die ich so hier auf der Arbeit finde, sehen nach Visio aus.

 

[sikarr]

Jetzt hat die Geschäftsführung entschieden, das muss dokumentiert werden. Manuell in Visio oder so, keine Chance.
Wo sitzt Kamera XY? An welchem Switch und an welchem Port dort?
Aktuell weiß niemand wo was stecken könnte. Geht ein Drucker nicht, geht das Suchen los.

Ist wohl schon längst überfällig, und wahrscheinlich wollen sie genau deswegen einen Netzwerkplan haben.

Wir haben auch ein Systemhaus, was für große Sachen zuständig ist, und auch das Patchen der Systeme übernimmt, es gibt ein Sicherheitsscreening usw. Sie bieten zwar HPE IMC (Intelligent Management Center), das sprengt aber glaube ich unseren Rahmen. Und sie bieten an, uns einen Netzwerkplan auf Anfrage zu erstellen.

Dann lasst ihn von denen erstellen, die sollten wissen wie das am besten hinbekommen bzw. wo was ist und warum.

Aber das kostet sicher Geld, und außerdem rennt man dann ständig hinterher.

Das ist halt so für eine Dienstleistung, abgesehen davon gehört es zu deren Aufgaben.

Einer stöpselt sein Telefon um, Plan wieder falsch.

Ja die Pflege liegt mit bei euch, das ist ein Organisationsthema

Es sollte schon zuverlässig sein.

Sowas gibts nicht, hab bis jetzt kein Tool gesehen was wirklich alles perfekt hinbekommen hat, irgendwas ist immer.

Gibt es da was kostenfreies?

Wohl eher nicht sowas lassen sich die Hersteller gut bezahlen, da steckt schliesslich auch genug Arbeit drinn.

Oder ein schönes, einfaches Tool?

i-doit ist ganz hübsch wenns um Dokumentation geht aber auch nicht kostenfrei, ansonsten hast du die gängigen ja bereits schon genannt.

 

[xexex]

Manuell in Visio oder so, keine Chance.
Wo sitzt Kamera XY? An welchem Switch und an welchem Port dort?
Aktuell weiß niemand wo was stecken könnte. Geht ein Drucker nicht, geht das Suchen los.

Selbst verschuldet muss ich an dieser Stelle sagen, passiert oft wenn man alle nach Belieben herumstecken lässt. Um das Chaos mal zu erfassen, kann ich dir folgende Software empfehlen. Macht aber nur Sinn wenn in der Zukunft das jetzige "System" unterbunden wird und am besten die Autoerkennung an den Switch Ports gleich komplett abgeschaltet wird.

https://www.switchportmapper.com/

Einer stöpselt sein Telefon um, Plan wieder falsch.

Ganz simpel, wie schon angemerkt, ARP Autoerkennung deaktivieren. Einer stöpselt sein Telefon um, Pech gehabt, muss erst von der IT freigeschaltet werden. Ist sowieso ein zusätzlicher Sicherheitsmerkmal, so kann niemand mehr irgendwelchen privaten Geräte ans Netzwerk anschließen.

 

[sikarr]

kann ich dir folgende Software empfehlen.

kann die auch einen Plan generieren?

Ergänzung (16. Oktober 2024)

@Smily Racktables könnte man evtl. noch nennen

 

[xexex]

kann die auch einen Plan generieren?

Du meinst eine Topologiekarte? Nein! Dafür kriegst du mit dem Teil halt herstellerunabhängig jegliche Infos die man kriegen kann, inklusive LLDP Informationen, ARP Auflösung usw. Perfekt um die aktuelle Belegung der jeweiligen Switche zu analysieren und zu dokumentieren.

Was du suchst ist dann wahrscheinlich eher sowas:

https://www.solarwinds.com/network-topology-mapper/use-cases/logical-network-diagram

https://www.lansweeper.com/it-network-discovery/

 

[Phil_81]

Aus Erfahrung kann ich auch Docusnap empfehlen... Macht u.a. genau das, was du brauchst. Und ist vor allem relativ einfach einzurichten.

 

[scooter010]

Ich denke, das ist keine einfache Aufgabe...
Einen Plan auf Layer 3 und Layer 2 zu generieren geht vielleicht noch teilweise automatisiert. Aber bei vielen günstigen Switchen ist nicht nachvollziehbar, an welchem physikalischen Port ein Gerät steckt.
Viel problematischer ist dann auch das Mapping auf die "echte Welt". Standorte, Gebäude, Stockwerke, Raumnummern...
Ich sag mal so: Ein vollständige Übersicht zu haben, bedeutet eine vollständige Übersicht zu haben.

• Liste aller Geräte
  • Wo soll das Gerät stehen
    • physikalisch
    • Netzwerktechnisch
  • Was ist das für ein Gerät
    • Hardware
      • Netzwerkinterfaces
      • CPU, RAm,...
    • Software
    • Konfig
    • Berechtigungen (soll)
      • Wer darf sich anmelden
      • Welche Ports (USB, ...) sind nutzbar
    • Auditing-Regeln
  • Härtungsmaßnahmen
    • Deaktivierung Spooler,
    • Anwedung GPO welche x deaktiviert
    • ...
  • "Project"
  • Benutzer
  • Zuständige OU für Betrieb
  • Zuständige OU für Administration
• Netzwerkmap
  • Router
    • Routen
    • konfigurierte Metriken inkl. Herleitung des Wertes
    • Konfigurationsprotokolle (z.B. CISCO)
    • alles wie bei Geräten
  • Subnetting
    • Zweck des jeweiligen Netzes
    • Routen rein und raus
    • zuständige(r) Router
    • Liste der Geräte inkl. MAC
    • Zuständige (IT-)Abteilung
    • Generelle und spezifische Firewall-Regeln
    • Monitoring/IDS/IPS
• NoC/Logauswertung/Blue-teaming
  • SIEM?
  • Monitoring
  • Incident-Rules
• Compliance
• Backup
  • Wo soll ich da anfangen
  • Desaster Recovery Protocolle
• DSGVO
• Rollen/Rechte-Konzept

Sowas bei gewachsener Infra "mal eben" nachträglich zu machen wird nichts. Sry, aber wenn die Chefs das wollen, dann müsst ihr euch das "einkaufen".

 

[Skysnake]

Du machst wegen 200€ im Monat ein Fass auf? Uh...

Das sind vielleicht 2h. Sprich allein dadurch dad du dir Gedanken machst hast du schon ein paar Monate wieder drin.

So Sachen sind nicht einfach. Ich würde da aktuell die 200€ ausgeben und eventuell später mal schauen wie man das wieder los wird, aber initial bei dem von dir beschriebenen Chaos ist es sicherlich das Geld wert.

 

[Smily]

Was ich bisher gesehen habe, unsere Switche sind relativ neu. Das Auslesen scheint zuverlässig zu funktionieren.
Klar wurde das Versäumt. Aber sowas kann man ja beheben. Wir sind keine Netzwerktechniker hier, ich bin nichtmal Fachinformatiker. Würde sich auch nicht lohnen, dafür ist die Firma doch zu klein. Hauptaufgabe von mir ist Preise im Warenwirtschaftssystem pflegen.
Allerdings, beim Neubau eines Standorts, die Dosen waren vor 10 Minuten installiert und beschriftet worden. Man steckt ein Gerät an Dose 18, patcht die Dose 18 auf den Switch und stellt fest ... also 18 ist es schon mal nicht .

Bisher bin ich mit Dokusnap recht zufrieden. Geht auch über alle unsere Standorte.
Ob das APR ausschaltet, ist nicht meine Entscheidung. Das Mitarbeiter was umstecken, kommt auch extrem selten vor. Ab und zu zieht mal ein Azubi von Tisch A nach B. Trotzdem wäre ich ein Verfechter davon, so eine Software selbst zu haben, und Pläne selbst erstellen zu können. Wir geben viel ab, aber man muss nicht alles abgeben. Und wenn jede Nacht der Plan neu erstellt wird, ist das eine schöne Sache.

passiert oft wenn man alle nach Belieben herumstecken lässt.

Nein, passiert, wenn es einfach noch nie dokumentiert wurde. An den Kabeln stecht manchmal son Etikett dran. Aber ... ob das stimmt oder das Kabel längst umgesteckt wurde? Meine Vorgänger haben halt alle Kabel in den Switch gesteckt . Alles läuft, aber keiner weiß genau warum. Mit einem Netzwerktester kann man sowas dann fix beheben und finden.
Aber man muss sich ja weiter entwickeln.

Aus Erfahrung kann ich auch Docusnap empfehlen.

Das freut mich. Morgen habe ich ein Teams Meeting mit einer Dame von denen. Aktuell läuft es auf meinem Laptop lokal. Wie man das mit dem SQL Server auf dem Server verbinden kann, wie man dann die Dokus geplant aktualisieren kann, dezentral die Sachen abrufen kann, das passiert morgen.
Danke, ich werde eure Sachen auch mal durchgehen .

Ergänzung (16. Oktober 2024)

vielen günstigen Switchen

Haben wir nicht.

Ergänzung (16. Oktober 2024)

Wo genau Geräte stehen, sagt meist der Name. Ansonsten gibt es fast ausschließlich Thin Clients, also auch keine Updates. Was @scooter010 da schreibt mag richtig sein, sprengt aber den Rahmen. GPOs, Firewallregeln usw. sind alle fertig und auch ordentlich vom Systemhaus gemacht. So rückständig sind wir dann doch nicht.

Ergänzung (16. Oktober 2024)

Du machst wegen 200€ im Monat ein Fass auf? Uh...

Nein, wo mache ich ein Fass auf? Nur wenn ich 80% von der Software nicht brauche, schon. Und man darf sich ja Alternativen holen, oder? Für 35 € scheint es ja auch gut zu gehen. Und Erfahrungen sind immer was wert.

 

[sikarr]

Viel problematischer ist dann auch das Mapping auf die "echte Welt". Standorte, Gebäude, Stockwerke, Raumnummern...

das ist es halt, dazu kommt das auch die Software wissen muss wo welches Asset steht um es auch richtig in Beziehung setzten zu können. Die Software kennt die physische Verteilung der Netzwerk Ports auf die Räume ja nicht, das muss man vor bekannt machen wo welcher Port oder Dose in welchem Raum ist.

 

[xexex]

Nein, passiert, wenn es einfach noch nie dokumentiert wurde.

Es passiert wenn man Netzwerkswitche als "Netzwerkmehrfachsteckdose" sieht und mehrere Leute einfach nach Belieben herumstecken lässt. Eine Dokumentation hilft dir da wenig, wenn nicht grundsätzlich solche Vorgänge unterbunden werden.

Wie du schon sagst, eine Beschriftung hilft wenig, wenn weiterhin jeder Zugang zu den Netzwerkkomponenten hat und herumstecken darf. Das wäre eigentlich der erste Punkt den man bei euch angehen sollte. Praktisch alle halbwegs intelligenten Switche haben eine Funktion, um die Hardwareadresse fest zu einem Port zu verknüpfen, danach steckt niemand mehr was um.

Dokumentation ist dann eigentlich erst der zweite Schritt, aber damit sie nicht bereits bei der Erstellung veraltet ist, sollte Punkt 1 beachtet werden. Sowas macht man letztlich nicht nur um die IT mit unsinnigen Aufgaben zu belasten sondern, um das Netzwerk zu schützen und Probleme besser nachvollziehen zu können.

 

[Smily]

weiterhin jeder Zugang zu den Netzwerkkomponenten

Niemand hat bei uns jemals am Switch/Patchpanel etwas umgesteckt, außer wir.
Die Ports unter den Schreibtischen beschriften, kommt noch. Das meiste sollte aber passen, würde das nur kontrollieren wollen.
was gemacht wurde, jemand zieht um. Steckt den Thin Client in den Port unterm Schreibtisch. Entweder es funktioniert einfach, weil Dose noch geptacht ist oder wir haben den Port gepatcht. Nur wo jetzt welcher ist, hat nie jemand dokumentiert. Wo auch, gab ja keine Doku.

wo welcher Port oder Dose in welchem Raum ist.

Alles erledigt. Wird noch kontroliert.

 

[sikarr]

Niemand hat bei uns jemals am Switch/Patchpanel etwas umgesteckt, außer wir.

Habt ihr das dann auch dokumentiert? Z.B. kann man sich einen Patchplan in Papierform hinlegen wo man Änderungen erstmal direkt einträgt, dann hat man zumindest schonmal einen Anhaltspunkt.

Ich kenne dein Problem, war in meiner Firma nicht anders bevor wir gekommen sind. Schlechtes Managment und Beratung hatten bei meinem AG ein Chaos hinterlassen. Später kam raus dass das Systemhaus die letzten Jahre nur noch Rechnungen und Bestellungen ausgestellt hat aber nur das mindeste gemacht hat. Als Beispiel bei den Storagesystemen war bereits die Hälfte der Platten tot. Unnötig komplexe Konfigurationen der VMs, was die Migration sehr schwierig machte. Und dann noch fehlende Dokumentation.

Mittlerweile haben wir einen Großteil aufgearbeitet und sind auch nach ISO 27001 zertifiziert aber selbst jetzt haben wir noch Baustellen.

Ergänzung (16. Oktober 2024)

Wir haben auch ein Systemhaus, was für große Sachen zuständig ist, und auch das Patchen der Systeme übernimmt, es gibt ein Sicherheitsscreening usw. ... außerdem rennt man dann ständig hinterher ...

Noch als Tipp, weil wir selber auch Probleme mit unserem haben, sucht euch ein Neues.

 

[Smily]

Z.B. kann man sich einen Patchplan in Papierform hinlegen

Existiert nicht.

Leute, Storage, Sicherheitssysteme, VM Konfiguration ist alles in Ordnung! Es hat nur niemand die Switche genau dokumentiert . Ich auch nicht! OK, neuer Arbeitsplatz an Dose 15. Dose 15 oben in einen freien Switch Port gesteckt, läuft, erledigt.

Und das ist schon ziemlich gut finde ich, das ist Docusnap.

Ergänzung (16. Oktober 2024)

sucht euch ein Neues.

Aber warum denn?

 

[sikarr]

Aber warum denn?

Ich zitiere dich mal selber

außerdem rennt man dann ständig hinterher

 

[Smily]

Ich möchte doch nur nicht jedes Mal einen neuen Plan von denen anfordern, wenn ein Gerät neu dazu kommt oder jemand umzieht. Drucker defekt, neuer Drucker kommt, Plan muss wieder neu gemacht werden. Dann vergisst man das und der nächste läuft mit einem alten Plan los. Das will ich nicht, Software auf, und der Ist-Zustand ist da. Bzw. der Ist-Zustand von letzter Nacht.

 

[Azghul0815]

Du wirst trotzdem nur eine 90 Prozent Lösung bekommen.
Schaut auch, das Software Wartung und Trouboeshoot mit dabei sind. Das Problem in der IT ist immer Day 2...Selbst bei vollautomatisierten Systemen.
Und ganz schnell wirds ganz schön Komplex und dann wirds richtig teuer...mit sowas verdienen wir nämlich unser Geld