Nein aber wie gesagt, wir haben unser Netz in mehrere VLANs unterteilt und
was soll ich mit 5 Class A Netzen anfangen? Die kann vermutlich BMW
brauchen aber unsere Klitsche...? ;-)
Jupp, das interne Interface des ISAs ist in alle VLANs getagget, das
externe steht in der DMZ.
*Ein* VLAN für alle Telefone ;-)
Finde ich nicht. Kameras sind Gebäudeüberwachungelemente, was für einen
Sinn soll es haben, dass das Laptop eines Mitarbeiters im gleichen Netz
rumturnt, wo auch die Gebäudeüberwachung drüber läuft. Gleiches für
Maschinen, in unserem Fall sind das Druckmaschinen, nur stehen die noch am
alten Standort. Da greift Heidelberg (der Maschinenhersteller) remote drauf
zu um Störungen zu analysieren. Was macht es für einen Sinn, die Server im
selben Netz stehen zu haben. Ist doch nur ein zusätzliches
Sicherheitsrisiko, welches mit Null Euro vermieden werden kann, wenn die
Hardware das eh schon kann. Oder die Serverfarm, niemandem im Haus geht der
BackupServer etwas an, oder der Server auf den die Kameras streamen bzw.
ihre Events ablegen usw usf. Und Systeme lassen sich IMHO nicht leichter
absichern als sie hinter einer richtigen Firewall zu verstecken. Es wird
nur das zugelassen, was nötig ist. Und du hast die Kontrolle, was da wo hin
will...

Andersrum betrachtet, lässt sich der Schaden, wenn es doch mal in einem
Segment funken sollte, lokal begrenzen. Unsere Entwickler arbeiten z.B. mit
höheren Rechten (bis hin zu Adminrechten), was die Leute in der Verwaltung
nicht tun. Dieses höhere Sicherheitsrisiko, welches wir bei den Entwicklern
eingehen müssen, begrenzen wir damit grösstenteils lokal auf deren Segment.
Sollte es zu Auffälligkeiten in einem Segment kommen, können wir diesem
Segment am ISA den Hahn abdrehen und die restlichen Segmente bekämen davon
überhaupt nichts mit. Ist aber noch nicht vorgekommen. Die Perspektiven und
Möglichkeiten, die sich dir bei einer Strukturierung deines Netzes bieten,
sind vielfältig...

Wir sind bei unserem Projekt von Anfang an von einer Vollaustattung
ausgegangen. Das Gebäude kann ca. 220 Arbeitsplätze bereit stellen. Am
Anfang wurden auch nur 35 benötigt, das war vor einem halben Jahr und jetzt
sind es bereits knappe 60, Tendenz weiter steigend. Klar es siedeln immer
mehr Leute um und insgesamt sind wir zur Zeit 160. Hätten wir z.B. die
Telefonanlage so dimensioniert, dass nur 60 Anschlüsse vorhanden wären,
dann könnten wir jetzt schon wieder eine Neue einbauen.

Aber die zugrunde liegende Philosophie, hängt halt immer stark von den
örtlichen Gegebenheiten ab. Um nochmal auf deine 25 Stationen
zurückzukommen... ;-)
Die Accesss Switche sind ProCurve 2650. 7 Stück, für jeden Gebäudebschnitt
einer, der Vollausbau sieht in jedem Abschnitt aber zwei vor. Die zweite
Glasfaserleitung liegt schon und wenn in einem Abschnitt mal die 50 Ports
nicht mehr ausreichen, wird einfach ein zweiter nachgeschoben. Einer davon
liegt bereits als Spare Part vor. Der Coreswitch ist ein ProCurve 5308XL
mit den benötigten Modulen und auch noch reichlich Luft nach oben.

Wir haben unser Netz auch mit MAC Based Authentication aufgebaut. Die HP
Komponenten können das über einen RADIUS Server abwickeln und wir sind
endlich das leidige Problem los, dass sich Leute ihr Laptop von zu Hause
mitschleppen oder ein Kunde ganz schnell mal mit seinem Laptop ins Internet
muss zum E-Mail checken. Jede MAC Adresse die der RADIUS nicht kennt, lässt
er im Default VLAN, welches ausschliesslich nur Zugang zum Internet über
die nötigen Ports hat und nicht in die lokale Infrastruktur routet. Und
damit keiner auf den blöden Geadnken kommt eine gültige MAC Adresse zu
spoofen haben wir in der DMZ einen WebDAV Server stehen, der für einen
Datenaustausch zwischen der lokalen Infrastruktur und fremden Geräten
benutzt werden kann. Dieser genießt bei den Admin eine erhöhte
Aufmerksamkeit und alle sind glücklich... ;-)

Das Einbinden von USB-Sticks und dergleichen kann ja über die Registry der
Clients schon recht wirksam unterbunden werden. Aber wir haben die
Erfahrung gemacht, wenn man den Leuten die Möglichkeiten gibt, die sie sich
wünschen, nehmen sie auch gerne mal Umwege in Kauf und sind nicht mehr so
erfinderisch, wenn es darum geht doch noch irgendwie /rein/ zu kommen ;-)

Fazit: Du hast jetzt bei der Neugestaltung einer Infrastruktur ja schon
Laborbedingungen und kannst dich richtig austoben, was das Testen und
Implementieren neuer Features betrifft. Nutze sie, einfacher wird das
später nicht mehr... Viel Spass, wir haben viel dabei gelernt ;-)

Bye Tom

http://www.subnet-calculator.com/subnet.php?net_class=A

nett gemacht, gut für unterwegs...

Krank?

Immer viele Standorte mit vielen VLAN Segmenten vorausgesetzt:

Ich habe in meheren Projekten die Erfahung gemacht, dass

255 Netze mit nur 254 Hosts nicht ausreicht.

Ebenso nur 16 Netze mit zwar 65534 Hosts.

Natürlich ist ein Netz mit 16777214 Hosts Quatsch.

So wird aber jeder am Anfang seine Netze u.U wählen, etc...

Ich behaupte:

Ein besserer Ansatz ist von vorne herein sowohl viele wie auch große
Subnetze zu haben und da bietet sich halt
z.B. ein 10er Ansatz mit 20 Bit Maske an (oder auch andere Konstellationen,
die etwas von Class A/B/C abweichen)....

Damit meine ich nicht den Handwerksbetrieb mit einem Home-Offce, sondern
z.B.
Krankhausketten mit komplexen Netzen und vollgerouteten Standortvernetzungen
und jeweils zig angebundenen Arztpraxen....

Ich habe noch keine Firma gefunden, auf die die 10er Range mit 20 Bit nicht
passen würde........

Ulrich wollte Meinungen ander Administratoren, wo is eigentlich dein
Problem, das du gleich mit "krank" um die Ecke kommst.....