Advies voor ontwerp LAN.

Simpele entry-server met SBS en ISA?

Icm een goede backupvoorziening en een UPS een prima mogelijkheid om te starten.

Je kan in je AD alle rechten configureren waar je maar wilt. Server benaderen via internet bepaal je uiteraard zelf. Mocht dat de bedoeling zijn dan zou ik naar een VPN oplossing gaan. Draytek als instap, Sonicwall oid als middenklasse.

Nodig:
Simpele (non-managed) switch, 16 of 24prt (afhankelijk van werkstations/printers), bij voorkeur gigabit uplink
servertje + win2k3 SBS + additionele cals
upsje

Maar goed, ik zou dit, zeker gezien je eigen basisvragen, bij je netwerkbeheerder/toeleverancier neerleggen. Kost meer, maar er is ook zoiets als onderhoud/storingsoplossing enz, en in een productieomgeving (lees; bedrijf) zou ik zeker niet gaan klooien als je iets met klok/klepel kent.

vervang die routers eerst maar eens voor switches in je plaatje

het lijk wel alsof iedereen routers wil gebruiken voor de meest simpele netwerkoplossingen terwijl het veel eenvoudiger en minder (beheersbaar) complex kan. Zijn routers een nieuwe hype ofzo?

[ Voor 61% gewijzigd door Gunner op 29-08-2007 08:00 ]

Gunner schreef op woensdag 29 augustus 2007 @ 07:59:
vervang die routers eerst maar eens voor switches in je plaatje

het lijk wel alsof iedereen routers wil gebruiken voor de meest simpele netwerkoplossingen terwijl het veel eenvoudiger en minder (beheersbaar) complex kan. Zijn routers een nieuwe hype ofzo?

Ja en nee, voor de simpele thuisgebruiker is een router erg gemakkelijk. Even inloggen, hostname invullen (oid) en alle computers hebben internet.

Van wireless bescherming heeft men nog nooit gehoord, maar dat is een ander discussiepunt.

[ Voor 4% gewijzigd door mimic op 29-08-2007 08:03 ]

mimic schreef op woensdag 29 augustus 2007 @ 08:02:
[...]


Ja en nee, voor de simpele thuisgebruiker is een router erg gemakkelijk. Even inloggen, hostname invullen (oid) en alle computers hebben internet.

Van wireless bescherming heeft men nog nooit gehoord, maar dat is een ander discussiepunt.

Dude. Waarom zou je meerder routers in een thuisnetwerk willen?? Dikke overkill aangezien een switch vaak goedkoper is en geen configuratie vereist.

[ Voor 8% gewijzigd door Gunner op 29-08-2007 08:06 ]

Ik moet zeggen dat ik ook meteen aan de oplossing van DJSmiley dacht, op die manier kan je je zaken precies inregelen zoals je wil zonder een rare constructie van meerdere routers...

flapstaart schreef op woensdag 29 augustus 2007 @ 08:18:
zonder een rare constructie van meerdere routers...

Hehe, eindelijk iemand. Dacht dat ik alleen stond in m'n denkbeelden

access-controle dmv routering is niet aan te raden IMHO. Mijn voorkeur zou zijn om een managed switch neer te zetten met een aantal VLAN's erop. Je kan dan een L3 switch nemen die dmv ACL het een en ander kan blokkeren of je neemt een L2 switch met een extra firewall (eventueel zelfs windows based) die je laat routeren tussen de VLANs. Kosten moeilijk te zeggen ik denk dat je al gauw aan een euro of 3000 komt. 1000 euro voor de switch 2000 voor de firewall
Persoonlijk zou ik liever niet voor een volledige windows based oplossing gaan. Je moet echter ook de beheersbaarheid in de gaten houden. Als je nul kennis hebt van netwerken en daar lijkt het op NOFI moet je zeker niet voor mijn oplossing gaan.

Ik zou in ieder geval alle UTP kabels naar een centraal punt laten komen (wat je nu hebt lijkt me niet erg gemakkelijk te beheren) en dan vanaf daar de zaak goed regelen doormiddel van een managed gigabit switch die VLAN ondersteund. En uiteraard een goede firewall.

[ Voor 12% gewijzigd door ik222 op 29-08-2007 09:18 ]

Inderdaad, een goede firewall (VLAN zijn niet per se nodig, maar kunnen handig zijn als je binnen het LAN per se zaken van elkaar wil afschermen.) die je servers beschermd tegen 'het grote boze internet'.
Als je enige eis is dat je servers niet vanaf internet 'bereikbaar' zijn, is er verder geen enkele reden om je computers allemaal anders in te richten (wel toegang tot internet, niet tot servers, dat soort gedoe).
Dat is gewoon een kwestie van je firewall 'netjes' definieren.

Zoals al eerder geroepen: de routers er alsjeblieft uit en vervangen door een grote switch waar alle machines op aangesloten zitten. Tussen de switch en het internetmodem dus een firewall en je bent al een heel eind. Virusscanners op de werkplek zijn simpelweg onmisbaar en om dat centraal te managen en updates uit te rollen (afhankelijk van het aantal machines wordt dat erg belangrijk) een virusscan-server (dat kan een aparte server zijn, of gewoon een neventaak van een andere server).

Edit: Overigens sluit ik me aan bij DJSmiley, gezien je eigen ontwerp en vragen zou ik dit karweitje toch echt uitbesteden bij een hardwareboer die de zaak ook voor je wegzet en je 'aan het handje meeneemt' over het waarom hij het zo bouwt en hoe je het onderhoudt. Een netwerkbeheerder hoeft er niet voor te zijn, dit is gewoon een enkel klusje dat eenmalig moet gebeuren... uitbesteden dus.

[ Voor 17% gewijzigd door bazkar op 29-08-2007 09:52 ]

Kijk eens bij dell.. die hebben webmanaged switchen die echt goedkoop zijn.Met ondersteuning voor Vlans enzo. Je hebt dan ook nog de ECHTE Manageble switchen, maar die zijn een prijsklasse hoger.
Ik zou ook opteren voor een centrale switch, dan heb je minder punten waar er zicht een fout kan voordoen.

Jouw setup: zoals al eerder genoemd gaat niet heel geod werken

Wat ik zou doen: (ik ga er even van uit dat het klein is, paar servertjes, +/- 20 werkplekken, paar printertjes.

Deel eerst het netwerk op in zones:

Zone 1: "onveilige" werkplekken met bijbehorende servers
Zone 2: "veilige" werkplekken met bijbehorende servers
Zone 3: WIFI
Zone 4: Het internet

Doel van de zonering is al het verkeer zo veel mogenlijk lokaal te houden. Op deze manier hoeft de firewall niet heel veel verkeer te verwerken, en kan dus eenvoudiger uitgerust worden.

Tussen deze vier zones moet iets komen dat kan filteren: Ik zou zelf (afhankelijk van performance e.d) een klein cisco routertje pakken dat vlans ondersteund, een 1800 of zelfs een 870. Deze zijn ook met ingebouwd WIFI te koop. Het voordeel van deze routers is dat in een klein formaat wel volledige firewall en vlan ondersteuning zit.

Als switch is eigenlijk alles dat vlans ondersteund prima. HP maakt prima dingen, Dell ook, Cisco ook: is alleen wat duur voor zo'n kleine omgeving.

De configuratie van de switch en router zal ik zelf op ongeveer een halve dag begroten. Als je geen verstand van de apparatuur hebt zal ik er niet zo snel aan beginnen (of een netwerk nerd inhuren natuurlijk )

Waar je rekening mee moet houden is dat er mogenlijk zaken omgenummerd moeten worden. PLan dit goed

Voor de servers zou ik een timebased rule aanmaken dat ze alleen naar de update servers van de virusscanner mogen. Iedere nacht door de servers een update op laten halen, voor de rest geen access. Die update kan je dan door een management pakket van de virusscanner wel laten distribueren naar alle clients. Als er geen centraal anti virus managemen is: Ook de clients (bijvoorbeeld tijdens de lunch) toegang geven tot de virus update servers.

Goed, tot zo ver mijn woensdagmiddag consult!

In principe zijn VLANs niet zo ingewikkeld. Zowel niet kwa config als gebruik. Een firewall die 802.1q trunking ondersteunt en je bent klaar.

TrailBlazer schreef op woensdag 29 augustus 2007 @ 22:42:
In principe zijn VLANs niet zo ingewikkeld. Zowel niet kwa config als gebruik. Een firewall die 802.1q trunking ondersteunt en je bent klaar.

precies: echt spannend is het niet. Ik denk alleen wel dat een paar uurtjes spenderen aan iemand die 't dagelijks doet waarschijnlijk goedkoper is dan zelf hele dagen stoeien

Wat ik in mijn vorige post al zij: de config maken en testen is een paar uurtjes werk. Er komt altijd meer bij kijken, ook de servers, wat voorwerk etc. maar al met al is het geen klus die heel hoog in de papieren zal lopen: Ik denk dat de meeste cisco mensen die hier rond lopen zulke klussen vaak genoeg op semi improvisatiebasis bij klanten gedaan hebben. (ik wel in elk geval)

TrailBlazer schreef op woensdag 29 augustus 2007 @ 22:42:
In principe zijn VLANs niet zo ingewikkeld. Zowel niet kwa config als gebruik. Een firewall die 802.1q trunking ondersteunt en je bent klaar.

Precies

Een simpele firewall met webconfig is bijvoorbeeld monowall, die ondersteunt vlan trunking, erg klein & goed

Voor een kantoor met 6PC's, 3 printers en 2 servers vind ik VLAN's een beetje overdone.

Als je de toegang tot servers/printers/Internet wilt beperken, dan doe je dat d.m.v. group membership.

Een ISA server als firewall, en je kan het Internet verkeer prima beperken.

Voor wat betreft de Virusscanner: Er zijn producten op de markt waarbij je een server als distributiepunt kan lante werken in je LAN. De server haalt in dat geval de files op vanhet internet, en je clients kijken naar deze server. De bekendere merken hebben dit (McAfee, ETrust AV, Symantec AV etc..) Voordeel is dat de virusdefinities maar 1 keer worden gedownload.

Maar goed, als dit je boven de pet gaat - en dat is helemaal niet erg - zou ik gewoon iemand inhuren om dit voor je te ontwerpen en een kostenplaatje te maken.

Equator schreef op donderdag 30 augustus 2007 @ 09:37:
Voor een kantoor met 6PC's, 3 printers en 2 servers vind ik VLAN's een beetje overdone.

Als je de toegang tot servers/printers/Internet wilt beperken, dan doe je dat d.m.v. group membership.

Een ISA server als firewall, en je kan het Internet verkeer prima beperken.

Voor wat betreft de Virusscanner: Er zijn producten op de markt waarbij je een server als distributiepunt kan lante werken in je LAN. De server haalt in dat geval de files op vanhet internet, en je clients kijken naar deze server. De bekendere merken hebben dit (McAfee, ETrust AV, Symantec AV etc..) Voordeel is dat de virusdefinities maar 1 keer worden gedownload.

Maar goed, als dit je boven de pet gaat - en dat is helemaal niet erg - zou ik gewoon iemand inhuren om dit voor je te ontwerpen en een kostenplaatje te maken.

ER staat: er zijn meer pc's, maar niet genoemd vanwege simpelheid Daarnaast staat er ook dan verschillende pc's / servers etc. ook onderling niet mogen communiceren. Dan zit je toch al snel aan vlan's.

overhyped schreef op donderdag 30 augustus 2007 @ 11:50:
[...]


ER staat: er zijn meer pc's, maar niet genoemd vanwege simpelheid Daarnaast staat er ook dan verschillende pc's / servers etc. ook onderling niet mogen communiceren. Dan zit je toch al snel aan vlan's.

Niet noodzakelijk. Als het zo'n 'simpel' netwerkje is kun je dat ook prima doen door ACL's op je router.
Bovendien kreeg ik de indruk dat bepaalde PC's alleen maar niet met de server mochten babbelen omdat ze op internet aangesloten zaten. Dat is met een firewall al afgedekt.

VLAN's hebben toch NIETS met de netwerktopologie te maken, maar zijn gewoon een gemakkelijke oplossing om niet manueel kabeltjes te versteken; uiteindelijk is het toch nodig verschillende subnets via een router met elkaar te verbinden en die router (of evt meerdere routers) te configureren... (jaja, 'k weet dat een managed switch met 3 virtuele LAN's handiger is dan 3 losse switches met telkens één echt LAN op, maar toch)

Ik zou eerder beginnen met de juiste vragen aan de TS te stellen:

- Hoe veel budget voor hardware/software is er beschikbaar?
- Hoe veel budget voor externe manuren enzo is er beschikbaar? (blijkbaar rond de 0.0)
- Hoe veel machines hangen ongeveer aan't netwerk?
- Welke prestaties zijn vereist (betrouwbaarheid, snelheid, ...) waar er gerouteerd moet worden (dus: naar printers en/of internet)?
- Hoe zit de bekabeling in elkaar? (komt alles samen in 1 patchkast? of zijn er verschillende verdiepingen enzo?) Hoe vaak moet er iets veranderd worden?
- Heeft de TS of iemand binnen het bedrijf deftige ervaring met windows server, linux of cisco?


Ten opzichte van't schema zou ik allesinds een aanpassing voorstellen:

- Vervang de 3 routers door switches (VLAN switches met trunking richting router als er budget voor is, anders gewone switches maar dan moet je kabeltjes versteken als je een computer in een ander stuk van't netwerk wilt hangen) (die NIET met elkaar verbonden zijn, of in andere VLANs zitten indien VLAN)
- Zet 1 centrale router die aan de modem en aan de 3 aparte LAN's hangt.

Afhankelijk van kennis en budget kan die router dan alles zijn vanaf een linksys WRT54GL met openWRT (goedkoopste/simpelste oplossing als je linux kennis hebt en geen extreem hoge internet/print performance nodig hebt), een PC (performanter) die linux of windows server draait, of een duur cisco ding maar om die keuze te kunnen maken is't nodig een antwoord op de hierboven vermelde vragen te hebben...

ls470 schreef op donderdag 30 augustus 2007 @ 21:24:
VLAN's hebben toch NIETS met de netwerktopologie te maken, maar zijn gewoon een gemakkelijke oplossing om niet manueel kabeltjes te versteken; uiteindelijk is het toch nodig verschillende subnets via een router met elkaar te verbinden en die router (of evt meerdere routers) te configureren... (jaja, 'k weet dat een managed switch met 3 virtuele LAN's handiger is dan 3 losse switches met telkens één echt LAN op, maar toch)

VLANs gebruik je juist om logisch gescheiden omgevingen te maken op een LAN dat je dmv een configuratie een systeem in een ander segment kan stoppen is mooi meegenomen maar is niet het belangrijkste.
VLANs icm met een firewall die routeert tussen deze VLANS is de oplossing voor dit soort problemen.

Ik zou in dit geval niet zo snel voor een linux servertje, of nog erger, een accesspoint met getweakte home software er op.

Zeker bij 0 kennis in huis wil je eenvoudig kunnen zeggen: Switch X, firewall Y, doet 't niet stuur een mannetje die 't snapt. (m/v)

1000 euro besparen klinkt leuk, maar wanneer de linksys doos uitbrand: en daarna niet meer te koop is.... Of net dat ene verouderde firewall scriptje niet meer helemaal gesnapt wordt..

Begrijp me niet verkeerd: ik ben een groot linux/open source fan: maar wel wanneer het te ondersteunen is.

TrailBlazer: Om logisch gescheiden omgevingen te maken gebruik je aparte LAN's of subnets of hoe je het wilt noemen, maar daarvoor zijn VLANs op zich zeker niet nodig.

Een VLAN dient alleen maar omdat de fysische structuur niet dezelfde zou moeten zijn als de logische structuur (dus bv. 1 VLAN switch ipv 3 aparte switches, 1 trunkkabel naar de router ipv 3 gewone kabels)

Overhyped: alles hangt af van de betrouwbaarheidsvereisten: Als de router mag falen zonder ernstige gevolgen is't geldverspilling om duizenden EUR uit te geven voor een extern beheerde netwerkinfrastructuur; Als't systeem in geen geval mag falen is het nodig ervaren personeel on-site te hebben, en een disaster recovery service te gebruiken om zeker te zijn dat als bv. het gebouw afbrandt de dienstverlening (inbegrepen computers voor't personeel en servers) de volgende dag offsite volledig operationeel is

ls470 schreef op vrijdag 31 augustus 2007 @ 19:06:
TrailBlazer: Om logisch gescheiden omgevingen te maken gebruik je aparte LAN's of subnets of hoe je het wilt noemen, maar daarvoor zijn VLANs op zich zeker niet nodig.

Een VLAN dient alleen maar omdat de fysische structuur niet dezelfde zou moeten zijn als de logische structuur (dus bv. 1 VLAN switch ipv 3 aparte switches, 1 trunkkabel naar de router ipv 3 gewone kabels)

Als je logisch LANs gaat scheiden door fysiek verschillende switches te nemen ben dus niet meer logisch bezig. Een VLAN kan je ook prima gebruiken voor een stuk extra security dmv private VLANS.

[ Voor 3% gewijzigd door Equator op 31-08-2007 22:43 ]

Ik vraag me af waarom het zo belangrijk is dat de ontwikkel machines niet aan het internet verbonden zijn. Tijdens het ontwikkelen gebruik ik namelijk vaak het internet. Het lukt natuurlijk allemaal wel door het over te plaatsen met een mem stick oid maar dat geeft allemaal overhead (werkt erg vervelend imo). Ik vraag me af hoe gevoellig een netwerk is voor verbindingen van buitenaf (goeie firewall en dergelijke).

[ Voor 9% gewijzigd door HammerT op 31-08-2007 20:44 ]

ls470 schreef op vrijdag 31 augustus 2007 @ 19:06:
TrailBlazer: Om logisch gescheiden omgevingen te maken gebruik je aparte LAN's of subnets of hoe je het wilt noemen, maar daarvoor zijn VLANs op zich zeker niet nodig.

Een VLAN dient alleen maar omdat de fysische structuur niet dezelfde zou moeten zijn als de logische structuur (dus bv. 1 VLAN switch ipv 3 aparte switches, 1 trunkkabel naar de router ipv 3 gewone kabels)

Overhyped: alles hangt af van de betrouwbaarheidsvereisten: Als de router mag falen zonder ernstige gevolgen is't geldverspilling om duizenden EUR uit te geven voor een extern beheerde netwerkinfrastructuur; Als't systeem in geen geval mag falen is het nodig ervaren personeel on-site te hebben, en een disaster recovery service te gebruiken om zeker te zijn dat als bv. het gebouw afbrandt de dienstverlening (inbegrepen computers voor't personeel en servers) de volgende dag offsite volledig operationeel is

Er is een groot verschil tussen een dure en een beheersbare oplossing. het feit is dat dingen kapot gaan. Daar moet je rekening mee houden. Ik ga in zo'n geval dan voor zo min mogenlijk maatwerk. Hoe meer standaard: hoe makkelijker het is om een willekeurige nerd te pakken die de boel weer in de lucht kan krijgen.

In het begin van mijn netwerk carriere ben ik veel bij MKB geweest. De ergste klussen (voor de klant, als techneut vindt je het wel leuk) waren de klussen waar ooit eens iets in elkaar gezet was door de tijdelijk aanwezige hobby bob, en wat nooit overgedragen is etc.

En ja, dan heb ik het ook over gehackte linksys modems, vreemde linux exoten etc.

Iets wat met standaard componenten opgebouwd is altijd makkelijker te servicen.

[ Voor 0% gewijzigd door overhyped op 31-08-2007 22:48 . Reden: Mijn onvervalste neerlansche vauden..... ]

Modbreak:

Heren, houden we het wel ontopic.. patsen met opleidingen enzo is nergens voor nodig..