Netwerk uitgedacht en dit wil ik nog even bespreken of het w

Netwerk layout ziet er OK uit, maar dat is dan ook het makkelijke deel. je IP adressering klopt niet veel van.

Waarom moeten de PC's op een verschillend subnet staan van de server en de docent IP's ? Om het makkelijk te houden zou ik gewoon een wat groter subnet aanmaken (10.0.x.x /16) in plaats van 3 subnets. dan kan je nog steeds de verschillende stations een andere reeks geven, maar kunnen ze wel met elkaar praten.

Als je dan toch echt verschillende lan segmenten wilt hebben, gooi er dan een router tussen.

Wat betreft DHCP/DNS laat dit beide lekker door je DC afhandelen, switches zijn hier niet voor gemaakt (als ze het al kunnen) en op win2k3 kan je mooi gebruik maken van de AD geintregreerde services. Ik mag toch aannemen dat je wel active directory gaat gebruiken ?? Zo ja, ook een 2de DC installeren is dan geen slecht idee.

Dit gaat inderdaad niet werken, je PC's zitten op een 10.0.3.0/24 en 10.0.2.0/24 netwerk en je router op 10.0.0.0/24. Je moet dus zorgen voor een routering.
Je kan natuurlijk ook makkelijk maken en de DHCP IP adressen laten uitdelen op 10.0.0.0/24 met als gateway 10.0.0.1. Dat doe je op één switch en op de ander disable je DHCP.

Overal zitten gigabit NIC's in, waarom dan toch 100 Mbp/s op de switches?

al je siwtchpoorten op auto laten staan. Fixed settings is vaak een recept voor problemen. Helemaal als je je PC's niet instelt want dan krijg je een duplex mismatch.

Je switches natuurlijk geen ip adressen laten uitdelen. Dat laat je doen door je domeincontroller.

DrFlash schreef op maandag 19 april 2010 @ 09:34:
Waarom moeten de PC's op een verschillend subnet staan van de server en de docent IP's ? Om het makkelijk te houden zou ik gewoon een wat groter subnet aanmaken (10.0.x.x /16) in plaats van 3 subnets. dan kan je nog steeds de verschillende stations een andere reeks geven, maar kunnen ze wel met elkaar praten.

Als je dan toch echt verschillende lan segmenten wilt hebben, gooi er dan een router tussen.

Hier ben ik het niet helemaal mee eens.
Afhankelijk van het soort cursisten kan het wel degelijk handig zijn om de personeelsmachines te scheiden van de cursisten.
Ik zou dat dan alleen wel op basis van VLANs doen, dat kunnen je L3 switches ongetwijfeld.

Wat betreft DHCP/DNS laat dit beide lekker door je DC afhandelen, switches zijn hier niet voor gemaakt (als ze het al kunnen) en op win2k3 kan je mooi gebruik maken van de AD geintregreerde services. Ik mag toch aannemen dat je wel active directory gaat gebruiken ?? Zo ja, ook een 2de DC installeren is dan geen slecht idee.

Hier ben ik het wel mee eens. DHCP/DNS wil je op je server(s) houden.
Een backup DC is ook zeker verstandig. Als je er niet meer hardware aan wilt besteden, installeer dan ESXi en doe het virtueel.

Verder zie ik dat je je hosts naar de router verwijst voor DNS. Dat zou ik niet doen, home routertjes zijn niet gemaakt voor grote hoeveelheden DNS requests.
Ook klopt je netwerk notatie niet, lees je daar nog eens op in.
Verder zou je je af kunnen vragen of je niet een wat betere gateway zou moeten nemen. Als ik jou was zou ik eens kijken naar een ASA5505, of anders misschien gewoon een oude machine met een soft firewall er op. Je hebt dan een betere doorvoer capaciteit en meer veiligheid (naar binnen en naar buiten).

CherandarGuard schreef op maandag 19 april 2010 @ 09:51:
[...]

Hier ben ik het niet helemaal mee eens.
Afhankelijk van het soort cursisten kan het wel degelijk handig zijn om de personeelsmachines te scheiden van de cursisten.
Ik zou dat dan alleen wel op basis van VLANs doen, dat kunnen je L3 switches ongetwijfeld.

Alleen qua IP adressen scheiden van de netwerken heeft geen zin. Als cursisten dan kwaad willen zitten ze zo op het andere lan, dat bedoelde ik meer. Als je de subnets gaat scheiden moet je een firewall toevoegen anders heeft het geen zin, en dan kan je beter je subnet groter maken zodat je wel verschillende reeksen kan gebruiken of alles in dezelfde reeks gooien.

De rest van jouw commentaar is inderdaad ook de richting die ik zou kiezen, als bijkomend voordeel heeft die AS55xx ook nog dat hij je lan segmenten kan routeren.

[ Voor 9% gewijzigd door DrFlash op 19-04-2010 09:59 ]

Tsja, dan had je er misschien van te voren over na moeten denken het is niet alsof een schematje als dit 8 uren werk kost lijkt mij, daarbij zul je op school toch ook al het nodige geleerd moeten hebben over dns/dhcp/routing/enz lijkt mij?

Ik zie niet in hoe je je hier 'onderuit kan praten', als dit schema exact hetzelfde in je verslag staat.

Oh bugger, ik zie nu pas dat de switches L2 unmanaged zijn. Ze ondersteunen geloof ik ook geen VLANs.
Dat is alles behalve ideaal.

DrFlash schreef op maandag 19 april 2010 @ 09:56:
[...]Alleen qua IP adressen scheiden van de netwerken heeft geen zin. Als cursisten dan kwaad willen zitten ze zo op het andere lan, dat bedoelde ik meer. Als je de subnets gaat scheiden moet je een firewall toevoegen anders heeft het geen zin, en dan kan je beter je subnet groter maken zodat je wel verschillende reeksen kan gebruiken of alles in dezelfde reeks gooien.

VLANs zijn dus niet alleen op IP gescheiden, dat is min of meer het idee. De switch bepaalt (meestal port-based) in welk VLAN je zit, dus je kan instellen wat je wilt, op het andere subnet kom je niet.
Firewalls heb je intern dan ook niet per se nodig, hoewel een ACL op je router(ende switch) natuurlijk aan te raden is.

Je zult alsnog routering nodig hebben tussen die VLAN's en dat kan enkel met een router of een L3 switch. Met een managed switch heb je enkel dat je kan instellen dat hij vlan's ondersteund, maar dan kan hij alsnog niet routeren.

Even snel getekend maar ik denk dat dit het moet worden. Afhankelijk van je opdracht en eisen kun je nog kijken naar redundantie. De cursisten gewoon in 1 vlan en 1 subnet en hetzelfde voor de docenten.

[ Voor 15% gewijzigd door battler op 19-04-2010 10:25 ]

De enige manier om deze (onlogische setup) te laten werken is met L3 switches.

Ook je notatie van je ip ranges is wat vreemd.
10.0.2.1/253 Hiermee lijk je aan te geven dat je een 253 bits subnetmasker gebruikt als je al een range wil aangeven zou ik gewoon 10.0.2.1-253 gebruiken.

Verwijderd schreef op maandag 19 april 2010 @ 11:38:
Maar betekend dit dat er nog een 3e switch bij komt? Kan het niet gewoon met 2 switches die beide Layer 3 zijn? Want op deze manier kom ik er niet makkelijk uit volgens mij.

Ja, dat kan ook. Het is gebruikelijker om een access-laag en een distributie-laag in je netwerk te hebben, zoals battler hierboven uitgetekend heeft voor je, maar in een kleine omgeving zou je ook kunnen kiezen om het op jouw manier te doen.
Houd er wel rekening mee dat je switches dan een hoop routering voor hun kiezen gaan krijgen, wat performance kan kosten, afhankelijk van de hoeveelheid verkeer die er overheen gaat.

Vergeet ook het DNS verhaal niet. Je domein gaat gewoon flippen als je clients zowel je server als je gateway dns gebruiken: clients alleen laten verwijzen naar je eigen dns server(s), die dan onbekende requests doorstuurt naar ingestelde forwarders. Het bovenstaande plaatje is niet te verdedigen.

TrailBlazer schreef op maandag 19 april 2010 @ 11:44:
De enige manier om deze (onlogische setup) te laten werken is met L3 switches.

Ook je notatie van je ip ranges is wat vreemd.
10.0.2.1/253 Hiermee lijk je aan te geven dat je een 253 bits subnetmasker gebruikt als je al een range wil aangeven zou ik gewoon 10.0.2.1-253 gebruiken.

De notatie is inderdaad wat "vreemd". Zeg maar een eigen CIDR-notatie. Dat moet natuurlijk zijn 10.0.2.0/24.

Verder vind ik (in gedachte houdend dat we het hier over school hebben en er dus geleerd moet worden) zijn idee helemaal niet zo gek. Om het goed uit te werken, moet er nog wel wat aan gesleuteld worden.... maar daarvoor zit hij dus ook op school. Als hij het allemaal al zou weten en kunnen.....

Zeker op een school is segmenteren met VLAN's en verkeer beperken met ACL's een goed idee. Je wil niet weten wat voor ongein daar allemaal uitgehaald wordt. Een scheiding tussen het administratieve netwerk en het cursisten-netwerk is gewoon een absolute must.

En, ben je er al uit wat je uiteindelijke ontwerp en verhaal gaat worden?