Inhaltsverzeichnis
Netz Infrastruktur
Dieser Artikel soll Fachschaften ohne bisherige Netzwerkinfrastruktur und/oder eigene Serverinfrastruktur helfen ihre Infrastruktur aufzubauen. Bisherige Infrastruktur kann auch mit Hilfe dieser Tipps überarbeitet werden.
Grundsätzliches
Die Netzinfrastruktur soll selbst gehostete Server und CLients mit der nötigen Netzanbindung für einen störungsfreien Betrieb versorgen. Für die grundsätzliche Infrastruktur kann üblicherweise die Infrastruktur des lokalen Rechenzentrums verwendet werden.
Falls möglich sollte NAT vermieden und stattdessen nur öffentliche IP-Adressen mit Routing verwendet werden. Andernfalls sollte NAT (z.B. für Workstations/Clients auf einer Firewall erfolgen).
Uplink
Nach Möglichkeit sollte vom Rechenzentrum ein eigenes VLAN (transparent/nicht transparent) mit einem Transfernetz am eigenen Server(rack) enden. Idealerweise hat man einen redundanten Uplink mit je 1 GBit/s oder mehr die im eigenen redundanten Switchstack endet.
Falls das nicht möglich ist ist eine nicht-redundante Anbindung die im eigenen Switch endet auch akzeptabel.
Segmentierung
Das eigene Netz sollte mit Hilfe von VLANs und IP-Ranges in unterschiedliche Bereiche segmentiert werden. Eine beispielhafte Aufteilung:
| Was | Beschreibung |
|---|---|
| Transfernetz | kleines Netz für reines Routing zur Firewall |
| Demilitarisierte Zone (DMZ) | Webserver & Mailin |
| Servernetz | nicht von außen erreichbare Dienste |
| Clientnetz | für eigene Workstations/Thinclients |
| Peripherienetz | für Drucker, Spielzeug etc. |
Alle Netze sollen zu einer IP aus dem Transfernetz vom Rechenzentrum zur Firewall geroutet werden. Eventuell wird noch eine lokale Firewall im Fachschaftsbüro benötigt zu der das Clientnetz und das Peripherienetz von der Hauptfirewall geroutet werden. Dafür wird ein weiteres Transfernetz benötigt. Nur die Dienste in der DMZ und evtl. ein Loginserver im Servernetz sind von extern erreichbar.
VLAN
Zusätzlich zur IP-basierten Segmentierung sollte jedes Netz in einem eigenen VLAN nur auf den Switchports zu erreichen sein wo es benötigt wird. Dadurch lassen sich auch einfach weiteres Routing/Segmentierung in einem Hypervisor durchführen.
Durch diese Segmentierung können weitere Sicherheitskonzepte und eine DHCP Segmentierung durchgeführt werden.
VLANs sollten auf dem Switch (wenn möglich) nur tagged an den Ports aufliegen.
Routing
Es ist wünschenswert dass alle Netzwerkverbindungen ausserhalb des lokalen L2 Netzes über die Firewall erfolgen, damit können ausgehende und eingehende Regeln für alle Netze erstellt werden
Firewall
Trunking
Für erhöhte Redundanz von Serven wird ein Trunking mit 802.3ad (LACP) empfohlen falls der Switch(stack) das unterstützt.
VM - Netze
Virtuelle Maschinen können auf dem Hypervisor in das benötigte VLAN mit Hilfe von einer Bridge hinzugefügt werden.
Beispielkonfiguration
# Real physical interfaces allow-hotplug eth0 allow-hotplug eth1 iface eth1 inet manual iface eth0 inet manual # Bond both physical interfaces to a trunk with multiple vlans auto bond0 iface bond0 inet manual bond-slaves eth1 eth0 bond-miimon 100 bond-mode 802.3ad bond-xmit_hash_policy layer3+4 bond-lacp_rate 1 #Management - VLAN auto bond0.2032 iface bond0.2032 inet static address xxx.xxx.xxx.xxx netmask 255.255.255.224 gateway xxx.xxx.xxx.xxx vlan-raw-device bond0 iface bond0.2032 inet6 static address xx netmask 64 gateway xx #Neues AStA Server-Netz auto bond0.2030 iface bond0.2030 inet manual vlan-raw-device bond0 auto br2030 iface br2030 inet manual bridge_ports bond0.2030 bridge_stp on
Die hier im BuFaTa ET Wiki dargestellten Arbeitsdokumente sind Einzelbeiträge der jeweiligen Autoren und i.d.R. nicht repräsentativ für die BuFaTa ET als Organisation. Veröffentlichte Beschlüsse und Stellungnahmen der BuFaTa ET befinden sich ausschließlich auf der offiziellen Homepage.