arbeitskreise:fachschafts-service:it:netz-infrastruktur:start
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
| Beide Seiten, vorherige ÜberarbeitungVorherige ÜberarbeitungNächste Überarbeitung | Vorherige Überarbeitung | ||
| arbeitskreise:fachschafts-service:it:netz-infrastruktur:start [04.11.2017 11:31] – Andrej Rode | arbeitskreise:fachschafts-service:it:netz-infrastruktur:start [04.11.2017 19:54] (aktuell) – Andrej Rode | ||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| ====== Netz Infrastruktur ====== | ====== Netz Infrastruktur ====== | ||
| + | |||
| + | Dieser Artikel soll Fachschaften ohne bisherige Netzwerkinfrastruktur und/oder eigene Serverinfrastruktur helfen ihre Infrastruktur aufzubauen. Bisherige Infrastruktur kann auch mit Hilfe dieser Tipps überarbeitet werden. | ||
| ==== Grundsätzliches ==== | ==== Grundsätzliches ==== | ||
| Zeile 5: | Zeile 7: | ||
| Die Netzinfrastruktur soll selbst gehostete Server und CLients mit der nötigen Netzanbindung für einen störungsfreien Betrieb versorgen. | Die Netzinfrastruktur soll selbst gehostete Server und CLients mit der nötigen Netzanbindung für einen störungsfreien Betrieb versorgen. | ||
| Für die grundsätzliche Infrastruktur kann üblicherweise die Infrastruktur des lokalen Rechenzentrums verwendet werden. | Für die grundsätzliche Infrastruktur kann üblicherweise die Infrastruktur des lokalen Rechenzentrums verwendet werden. | ||
| + | |||
| + | Falls möglich sollte NAT vermieden und stattdessen nur öffentliche IP-Adressen mit Routing verwendet werden. Andernfalls sollte NAT (z.B. für Workstations/ | ||
| Zeile 28: | Zeile 32: | ||
| Eventuell wird noch eine lokale Firewall im Fachschaftsbüro benötigt zu der das Clientnetz und das Peripherienetz von der Hauptfirewall geroutet werden. Dafür wird ein weiteres Transfernetz benötigt. | Eventuell wird noch eine lokale Firewall im Fachschaftsbüro benötigt zu der das Clientnetz und das Peripherienetz von der Hauptfirewall geroutet werden. Dafür wird ein weiteres Transfernetz benötigt. | ||
| Nur die Dienste in der DMZ und evtl. ein Loginserver im Servernetz sind von extern erreichbar. | Nur die Dienste in der DMZ und evtl. ein Loginserver im Servernetz sind von extern erreichbar. | ||
| + | |||
| + | === VLAN === | ||
| + | |||
| + | Zusätzlich zur IP-basierten Segmentierung sollte jedes Netz in einem eigenen VLAN nur auf den Switchports zu erreichen sein wo es benötigt wird. Dadurch lassen sich auch einfach weiteres Routing/ | ||
| Durch diese Segmentierung können weitere Sicherheitskonzepte und eine DHCP Segmentierung durchgeführt werden. | Durch diese Segmentierung können weitere Sicherheitskonzepte und eine DHCP Segmentierung durchgeführt werden. | ||
| + | |||
| + | VLANs sollten auf dem Switch (wenn möglich) nur tagged an den Ports aufliegen. | ||
| Zeile 36: | Zeile 46: | ||
| Es ist wünschenswert dass alle Netzwerkverbindungen ausserhalb des lokalen L2 Netzes über die Firewall erfolgen, damit können ausgehende und eingehende Regeln für alle Netze erstellt werden | Es ist wünschenswert dass alle Netzwerkverbindungen ausserhalb des lokalen L2 Netzes über die Firewall erfolgen, damit können ausgehende und eingehende Regeln für alle Netze erstellt werden | ||
| + | ==== Firewall ==== | ||
| + | [[ arbeitskreise: | ||
| + | |||
| + | ==== Trunking ==== | ||
| + | |||
| + | Für erhöhte Redundanz von Serven wird ein Trunking mit 802.3ad (LACP) empfohlen falls der Switch(stack) das unterstützt. | ||
| + | |||
| + | ==== VM - Netze ==== | ||
| + | |||
| + | Virtuelle Maschinen können auf dem Hypervisor in das benötigte VLAN mit Hilfe von einer Bridge hinzugefügt werden. | ||
| + | |||
| + | === Beispielkonfiguration === | ||
| + | |||
| + | < | ||
| + | # Real physical interfaces | ||
| + | allow-hotplug eth0 | ||
| + | allow-hotplug eth1 | ||
| + | iface eth1 inet manual | ||
| + | iface eth0 inet manual | ||
| + | |||
| + | # Bond both physical interfaces to a trunk with multiple vlans | ||
| + | auto bond0 | ||
| + | iface bond0 inet manual | ||
| + | bond-slaves eth1 eth0 | ||
| + | bond-miimon 100 | ||
| + | bond-mode 802.3ad | ||
| + | bond-xmit_hash_policy layer3+4 | ||
| + | bond-lacp_rate 1 | ||
| + | |||
| + | #Management - VLAN | ||
| + | auto bond0.2032 | ||
| + | iface bond0.2032 inet static | ||
| + | address xxx.xxx.xxx.xxx | ||
| + | netmask 255.255.255.224 | ||
| + | gateway xxx.xxx.xxx.xxx | ||
| + | vlan-raw-device bond0 | ||
| + | |||
| + | iface bond0.2032 inet6 static | ||
| + | address xx | ||
| + | netmask 64 | ||
| + | gateway xx | ||
| + | |||
| + | #Neues AStA Server-Netz | ||
| + | auto bond0.2030 | ||
| + | iface bond0.2030 inet manual | ||
| + | vlan-raw-device bond0 | ||
| - | * [[ arbeitskreise: | + | auto br2030 |
| + | iface br2030 inet manual | ||
| + | bridge_ports bond0.2030 | ||
| + | bridge_stp on | ||
| + | </ | ||
Die hier im BuFaTa ET Wiki dargestellten Arbeitsdokumente sind Einzelbeiträge der jeweiligen Autoren und i.d.R. nicht repräsentativ für die BuFaTa ET als Organisation. Veröffentlichte Beschlüsse und Stellungnahmen der BuFaTa ET befinden sich ausschließlich auf der offiziellen Homepage.
arbeitskreise/fachschafts-service/it/netz-infrastruktur/start.1509791502.txt.gz · Zuletzt geändert: 04.11.2017 11:31 von Andrej Rode