Netzwerke und Systemintegration Netzwerkplanung Netzwerke und Systemintegration
Werkstätte - Bürogebäude verschiedene Erdungspunkte kein gemeinsames Stromnetz aufgrund von möglichen Störungen durch große Maschinen externe Verbindung mit Glasfaserkabeln (intern TP für Ethernet) keine elektromagnetischen Störeinfälle potentialfreie Verbindung
LWL-Medienkonverter Verbesserung der Reichweite (bis zu 100km) & potentialfreie Verbindung wahlweise auf 1. oder 2. Schicht des OSI-Modells konvertiert intern elektrische in optische Signale LWL-Medienkonverter von TP-LINK 1.OSI: Standard-Medienkonverter (wie Repeater) 2.OSI: Switched-Medienkonverter (Bridge) Konverter: links Empfänger und Sender – rechts Ethernetanschluss Lichtwellenleiter
Switches & Patchfelder Werkstätte 10 Netzwerkanschlüsse Bürogebäude TP-Link Switch (5 Anschlüsse) Ligawo Patchpanel (24 Anschlüsse) TP-Link Switch (16 Anschlüsse)
Filialen Zugang zum Fileserver via VPN DSL Anschluss mit öffentlicher IP- Adresse (Zugang zum Internet nur mit Proxy Authentifizierung) Übergabepunkt: Router des Providers mit RJ45 Anschluss Weitere Geräte: Switch (max. 10 Anschlüsse) Access Point mit WPA2 Verschlüsselung Internet (DSL Anschluss) Switch Router (vom Provider) Access Point
VPN-Verbindung sichere Verbindung von Filiale zum Fileserver (Zentrale) Verbindung mit Internet-Stick zum Fileserver Secure Sockets Layer (SSL) – Protokoll OpenVPN System Authentifizierung mit Benutzername & PW Pre-shared Key Zertifikatsbasiert VPN Verbindung mit Windows Nur PPTP und L2TP/Ipsec Protokolle (kein SSL) SSL: zuverlässig Verbindung via Webbrowser OpenVPN: open source VPN system basierend auf SSL Code (OpenVPN kann sowohl auf MacOS als auch auf Windows od. diversen Smartphones als App installiert werden) Benutzername & PW: für Man in the Middle Angriffe anfällig Pre-shared Key: Daten werden mit einem Schlüssel ver- und entschlüsselt (Schlüssel darf nicht abhandenkommen) Zertifikatsbasiert: Jedes Gerät erhält ein Zertifikat – der VPN Server lässt nur zertifizierte Geräte zu. OpenVPN enthält Skripte, die die Zertifikaterstellung ermöglichen. VPN Verbindung mit Windows: eingeschränkte Einstellungsmöglichkeiten bezüglich Sicherheitsprotokolle und Authentifizierungsverfahren
Großraumbüro TP-Link Switch (5 Anschlüsse) R&M 60-Port Patch Panel
Besprechungsraum TP-Link Switch (5 Port) Cisco Indoor 802.11ac AP 3700 Series
Serverraum Netzwerksoftware Debian mit den erforderlichen Paketen TP-Link Switch (5 Port) Netzwerksoftware Debian mit den erforderlichen Paketen
Proxy Verwendete software Einfacher Debian/Linux Proxy Squid Einfacher Debian/Linux Proxy Einfache konfiguration
Installation # apt-get install squid3 Port Chache im Arbeitsspeicher Konfiguration in /etc/squid/squid.conf Port http_port PORT Chache im Arbeitsspeicher chache_mem X MB ACL acl NAME src IP zB.: acl freigegeben1 src 192.168.20.1
Authentifizierung Folgende Zeilen einfügen Authentifizierung auth_param basic program /usr/lib/squid/pam_auth auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off Authentifizierung acl checkpw proxy_auth REQUIRED http_access allow checkpw all Automatisch mit Benutzerdaten anmelden
Authentifizierung Freigeben eines gewissen IP-Bereich
Warte- und Ausstellungsraum Kein Zugriff auf das Netzwerk – nur Internetzugriff Vorzüglich WLAN Access Point mit 2 SSIDs moderne Modems haben bereits konfigurierten Gast-Modus Lokaler LAN-Traffic wird blockiert wird als zweites Netz angezeigt
Warte- und Ausstellungsraum Mehrere Netzwerkanschlüsse Server – Router – Switch DHCP Server verteilt für dieses Netz völlig andere Adressen (z.B. statt 192.168.x.y 10.0.x.y) Router verbindet die zwei verschiedenen Netze Regel am Router konfigurieren: falls Pakete für das Servernetz bestimmt sind (192.168.x.y) Anfrage wird ignoriert