Details

Abzubauendes Netzwerk

Das abzubauende Netzwerk besteht derzeit aus folgende Komponenten:

- 3 x SDSL Modem (8down / 8up)
- 1 x ADSL Modem (8down / 1up)
- 2 x Zyxel Firewall USG220
- 2 x Zyxel WLAN Kontroller NXC2500
- 1 x Mikrotik 1100 AHx2
- 1 x HP830 8PoE JG641A
- mehrere No Name Switche

Derzeit werden mehrere Modems verwendet um die verschiedenen Netze zu trennen. Für das Gäste-Netz wird ein ADSL Modem (8/1) verwendet welches über eine Mikrotik Firewall geroutet wird. Das WLAN wird über den HP830 Kontroller ausgestrahlt, welcher leihweise zur Verfügung gestellt worden ist, da die Zyxel Komponenten nur eine Belastung für max. 254 Clients ausgelegt sind.
Gäste und Mitarbeiter Netz werden jeweils über eine Zyxel Firewall getrennt.
Ein SDSL (8/8) Modem wird ungesichert in das Internet geleitet.

Alle diese Modems werden durch eine 100MBit Leitung und einen Firewall Managementsystem ersetzt.

Netzwerkplan der alten Struktur


Click to enlarge

Aufzubauendes Netzwerk

- 2 x Sophos SG330
- 20 Sophos AP 100
- 10 x HP ProCurve 2530-48g poe+

Das neue Firewall Management System wird als ein "Active Passiv Cluster konfiguriert", dies hat den Vorteil, wenn bei einer Komponente ein Hardwaredefekt vorliegt, dass sofort der andere Node übernimmt. Auf dem Firewall Management System werden mehrere VLAN´s konfiguriert um dieses über die HP-Switches auf das ganze Gelände zu verteilen. Weiters werden die DHCP Adressen über das Firewall System ausgegeben. Hierbei werden die Ranges für die jeweilige Nutzung angepasst.
Die gesamten Netze werden auf 8 VLAN´s aufgeteilt, wobei 4 dieser Netze über WLAN zur Verfügung stehen müssen. Teilweise können die Netze, je nach Anforderung, über bestimmte Ports miteinander kommunizieren. Dies wird mittels "Rules" auf der Firewall eingestellt. Für das Gäste-Netz wird eine "Client isolation" eingestellt, damit unter den Gästen keine Kommunikation stattfinden kan.
Auf allen Switches werden die VLAN´s als untagged konfiguriert, d.h. das jedes Netz nur auf bestimmten Ports am Switch ausgegeben wird. Ein VLAN (IT-Management) ist auf alle Netze "getagged" damit dieses Netz auf alle andern zugreifen kann. Die Ports am Switch werden mittels Sperre der Ports und MAC-Adressen konfiguriert, somit ist gewährleistet, damit keine Fremdperson das Netzwerk missbrauchen können. Mittels "Spannin Tree Protokoll (STP)" kommunizieren die Switches untereinander.

Netzwerkplan der neuen Struktur


Click to enlarge