Aufbau Unternehmensnetzwerk --> Restart

  • Hallo zusammen


    Ich habe bereits einen gleichlautenden Eintrag (etwas weiter unten) gestartet - allerdings muss ich eingestehen, dass der Start des Beitrags und damit einhergehender Feedback alles andere als ein guter Start für ein solches Projekt war. In Teilen liegt das an der Komplexität des Unterfangens und meinem u.U. nicht ganz so proffessionellen Umgang, sowie in meinen Augen an der Beharrlichkeit einiger User, die ein solches Projekt (nur) in professionelle Hände gelegt wissen wollen, ohne sich dabei auf Quereinsteiger und deren andere Ansichten zur Thematik einzulassen.


    Natürlich habe ich mir mein Vorhaben skizziert - auch wenn ich es unterlassen habe dies entsprechend Dund zu tun im letzten Beitrag). Ich ändere daher meine Vorgehensweise hier im Forum, und werde...

    • zunächst die Unternehmensstruktur widerspiegeln
    • danach die IST-Situation der IT skizzieren
    • zum Schluss den PLAN-Stand meines Projekts ausführen.

    Im Anschluss daran werde ich meine Maßnahmen reflektieren und meine eigentlichen Fragen zum Besten geben.


    Noch eines vorweg: Ich habe Mathematik studiert und hatte da natürlich meine Pflichtsemester Informatik 1 und 2 gehabt. Nach dem Stuidum habe ich ein zweites Stuidum im Lehramt Geschicht und Mathematik absolviert und habe das mit dem zweiten Staatsexamen abgeschlossen. 2 Jahre Schule habe mich jedoch erkennen lassen, dass ich das - nicht wegen der Schüler, sondern wegen des Systems "Schule" und der Eltern - keinesfalls mein Leben lang machen werde. Ich bin dann zunächst als Pädagoge unterwegs gewesen, ehe ich in die IT kam und dort seit 10 Jahren arbeite - parallel zum Studium arbeitete ich in der IT bei größeren unternehmen im 1st. und später in 2nd und 3rd-Level-Support für Linux-Server. Im Bereich Netzwerk habe ich grundlegende Erfahrungen (LAN-Partys organisieren und realisieren für bis zu 1000 Zocker)


    Die Unternehmensstruktur
    Wir sind ein KMU mit ca. 700 Beschäftigten. Ein kleiner Teil arbeitet in einer Firmenzentrale, während das Gros an bis zu 70 Standorten arbeitet. Neben unseren Mitarbietern haben wir ca. noch 2500 Kunden in unserer Region. Diese Regionen wurden in "Regionale Sektoren" unterteilt, die von einer Standort-Zentrale geleitet werden. Das Gros der Standorte hat jedoch ca. 1-15 Mitarbeiter.

    Jeder größerer Standort (mit mehr als 15 Mitarbeitern) verfügt über einen eigenen Windows Server, auf den die Mitarbeiter (=MA) zugreifen können. Das Gros der MA hat einen PC. Wir haben, obwohl unsere Windows-Server dies leisten könnten, keine aktiven Domain-Controller und sind dezentral aufgestellt.


    DIE IST- Situation

    Wir haben zwei Internetanschlüsse - einen für Mitarbeiter (=MA) und den anderen für Kunden (=KU). Manchmal haben wir auch mehr - dann wird hierüber die Telefonanlage (=UNIFY) separat angeschlossen. Jeder Anschluss wird über ein Fritzbox (=FB) zur Verfügung gestellt. Auf Seiten der APs haben wir Technik von AVM - unsere Switche kommen von Netgear uns sind "unmanaged" (=uS, vgl. Skizze). Wir haben zwei Firewalls - eine für das MA-Netzwerk und nochmals eine vor dem Server. Von Extern nehmen die MA per VPN Zugriff auf den Server auf 10.8.0.x



    PLAN-Stand

    Der PLAN ist es, die internen Switche gegen UI-UNIFI zu tauschen. Zum EInsatz kommen zwei Vigor, die die derzeitigen Fritzboxen ersetzen sollen. Für den Kundenbereich ist das nicht weiter schwer. Für den MA-Bereich ist es etwas komplizierter, da wir die Fritzbox als "Lieferant" des SIP-Trunks benötigen.


    Angedachte Maßnahmen:

    • MA-Netz wird zu einem 192.168.100.0/24, wobei jeder Standort seinen eigenen Adressraum erhält. Die Standorte sind so ausgelegt, dass der Adressraum ausreicht. - also dann 192.168.101.0/24 usw
    • KU-Netz wird zu einem 192.168.1.0/24 - analog zu MA-Netzen - hier werden die Netze von 1-99 gehen, also 192.168.98.0/24 zum Beispiel
    • Sollten mehr MA-Netze benötigt werden, so erstenn wir die MA-Netze kanonisch von 100-199 und belassen 200-254 als Reserve - auch für neue Standorte.
    • So sind alle Netze getrennt und sollten wir später Site-to-Site realiaiseren, gibt es keine Überlappungen.
    • FBs ersetzen wir durch Vigors [oder Vigoren ;-)] in WAN1 bzw. WAN2
    • WAN1 und WAN2 wird über ein LoadBalancing geregelt - so können wir beide Internetanschlüsse besser auslasten. da wir hier leider keine 100er Anschlüsse oder Glasfaser haben. - nur im Ausnahmefall.
    • Die FB wird zum Client an Port1
    • APs werden zu UI-APs, da wir mehr SSIDs benötigen als uns die AVM-APs liefern können


    Konkrete Umsetzung:

    1. Umbau Netzwerkschrank, Einbau Geräte, EInbau USV (extra für UI-Geräte eine separate USV-Lösung angeschafft)
    2. Trennen FB von MA-Internet, Einbau Vigor, Vergabe einer IP 192.168.100+n.254 (mit n <= 99) für Vigor.
    3. Verbinden Vigor1 UDM-SE mit Port 1 --> WAN1, Port2 vom Vigor setze ich auf irgendeinen Port der SE (später konfiguriert für MA-VLAN)
    4. Einpflegen der Zugangsdaten PPPoE im UDM-SE (WAN1)
    5. Inbetriebnahme MA-Netz
    6. Trennen FB von KU-Netz, Einbau Vigor, Vergabe einer IP 192.168.1+n.254 (mit n <= 98) für Vigor.
    7. Verbinden Vigor2 UDM-SE mit Port 1 --> WAN2, Port2 vom Vigor setze ich auf irgendeinen Port der SE (später konfiguriert für KU-VLAN)
    8. Einpflegen der Zugangsdaten PPPoE im UDM-SE (WAN2)
    9. Inbetribnahme KU-Netz
    10. Konfiguration Load-Balancing 50:50
    11. Abziehen von WAN1 --> WAN1 kann ich erst live in Betrieb nehmen, wenn ich Telefonanlage geklärt habe.
    12. Zunächst installiere ich in allen KU-Räumen die 24er Standard-Switche, die VLANs und nehme die APs in Betrieb (mit 4 VLANs)


    FRAGEN:

    1. Ist für euch der Aufbau schlüssig?
    2. Mein Kollege, der sich mit SIP-Trunks beschäftigt (ich habe davon keine Ahnung) pocht auf die Fritzbox, da die für die UNIFY-Anlage und den SIP-Trunk benötigt wird.
      Ich frage mich aber warum - denn der SIP-Trunk ist in der Telefonanlage konfiguriert und nicht in der FB und die FB ist ja nicht mehr das Gateway, sondern die UDMSE/PRO.

      Es gab mehrere Szenarien, die ich für die EInbindung einer FB hinter einer UDM-Pro/SE im netz gefunden habe - ich denke aber, dass es sich hierbei um eine EInbindung als "normale" Telefonie handelt - OHNE SIP-Trunk.
      a.) Einbinden der FB als Klient scheint zu funktionieren
      b.) Einbinden der FB als Klient - holprig aber möglich --> razor  Daniel_IP @EJHome - da scheint es überall zu funktionieren.
      ==> Da ich keine Ahnung hinsichtlich Telefonie habe und mein Kollege keine Ahnung von UI werden wir das nach Video versuchen zu lösen -->IDomix . Ich habe mir aber mal die Einstellungen im UDM-Se angesehen und denke das ist schlüssig
      ==> Wenn ich mir das im Forum so anlese, scheinbt es dennoch viele unterschiedliche Probleme zu geben, die nicht kanonisch sind bzw. deren Ursprsung und Lösung keinem festen Konzept zu folgen scheinen @Lotterie?

      Bei SiP-Trunk-Einbindung steige ich gerade genauso wenig dahinter:
      a.) In meiner Konfiguration an der UNIFY-Telefonanalge ist die FB derzeit das Gateway. In Zukunft ist aber die UDM-SE das Gateway. Für mich unschlüssig ist, warum ich dann eine Portweiterleitung für diverse Ports an die FB (im Client-Modus) brauche, obwohl die SIP-Trunk-Daten in der Telefonanlage drinnen stehen und nicht in der FB.
      b.) Das in a.( könnt eich mir erklären, da im Regelfall der SIP-Truink direkt in der FB eingerichtet ist und dann natürlich die FB auch dieverse Ports braucht. Wenn der SIP-Trunk aber in einer separaten Telefonanlage eingerichtet ist, muss ich allenfalls Ports in der UDM-SE auf die TA weiterleiten?

      Ich werde zwecks Einbindung mal beim Hersteller von UNIFY oder bei der Telekom anfragen. Ggf. gibt es hier Erfahrungswerte.
    3. Habt ihr Verbesserungen anzumerken?
    4. Für einen SIP-Trunk habe ich das "SITE-Magic" entdeckt - und werde es mal an einem kleinen Standort nutzen - die jeweils verschiedenen MA- und KU-Netze sollten ausreichen dies zu realisieren oder?

    Ich werde wahrscheinlich noch weitere Fragen stellen ... erstmal soweit.

    Vielen Dank im Voraus :smiling_face:

    P.S. meine Frau sitzt mir im Nacken @Family-Time: Habe den Text daher runtergerattert und verbessere Rechtschreibfehler später :grinning_face_with_smiling_eyes:

    Einmal editiert, zuletzt von Kolungate ()