====== IPA Fragestellung Saba ====== ===== Ausgangslage ==== In der Rafisa Informatik GmbH werden zurzeit 50 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik zu InformatikerInnen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb bietet die Rafisa auch Eignungsabklärungen, Arbeitstrainings, Vorbereitungen für eine Informatik-Ausbildung sowie Bewerbungs- und Job-Coachings an.\\ Die Firma befindet sich in einer Wachstumsphase, neben dem Hauptort Dietikon kamen als Standorte Bern, Fribourg und Zug hinzu. Die Standorte sind bisher weitgehend autonom, alle verfügen über eine nach eigenen Vorgaben erstellte IT-Infrastruktur. Die Geschäftsleitung hat nun beschlossen, die Netzwerk-Infrastruktur zu vereinheitlichen. Der in Dietikon entwickelte Firmenstandard soll auf die anderen Standorte übertragen werden. Zudem sollen die Standorte über ein Site-to-Site-VPN angebunden werden. Am Beispiel der Rafisa Fribourg wird in dieser IPA die Anbindung vorbereitet. ===== Detaillierte Aufgabestellung ===== In einer Testumgebung soll eine Lösung für die Netzwerk-Infrastruktur des Standortes Fribourg erarbeitet werden. In Vorarbeiten wurden die Bedürfnisse von Fribourg abgeklärt, sie liegen in einem SOLL-Netzplan vor. Firewall und Switches sind so zu konfigurieren, dass sie zum einen dem Firmenstandard genügen und zum anderen möglichst ohne grossen Konfigurationsaufwand in Fribourg eingebaut werden können. Es ist zu Überprüfen, ob der Firmenstandard Dietikon einfach übernommen werden kann, oder wo allenfalls Anpassungen nötig sind. Des weiteren soll die Site-To-Site-Anbindung mit einer zweiten Firewall realisiert und getestet werden. Als weitere Aufgaben sind ein WLAN-Netzwerk einzurichten und eine Backuplösung zu realisieren. ==== Zur Verfügung stehende Hardware und Services ==== == Hardware == 1x Dedizierter Rack-Server\\ 1x PC mit BackupPC (Vorarbeit)\\ 2x Firewall pfSense auf APU-Hardware (Die FW-Zürich wird als Vorarbeit mit VLANs gemäss Firmenstandard aufgesetzt)\\ 2x Managed Switch 24-Port\\ 1x Managed Switch 48-Port\\ 1x Managed Switch 8-Port\\ 2x Arbeitsplatzrechner für Doku und Testing (Installation als Vorarbeit)\\ 1x Unify-AP == Services == Proxmox-VE Virtualisierungsplattform (Installation als Vorarbeit)\\ 2x VLAN für den Aufbau der Testumgebung\\ Folgende Unteraufgaben sind zu lösen (Verweise auf die individuellen Beurteilungskriterien sind mit den Kürzeln I1-I7 gekennzeichnet): ==== 1. Erfassung IST-Zustand (I1)==== - Erfassung der zur Verfügung gestellte Hardware (Server und PCs: Modellbezeichnung, CPUs, Memory, Festplatten, Netzwerk-Interfaces. Switch: Modellbezeichnung, Übertragungsrate, Anzahl Ports, Firmware-Version); Access-Point (Anzahl Ports, WLAN-Standards, Frequenzbänder, Verschlüsselungsmöglichkeiten), Firewall (Modellbezeichnung, CPUs, Memory, Festplatten, Netzwerk-Interfaces, Übertragungsrate) - Erfassung der zur Verfügung gestellte Services: Kurzbeschreibung Proxmox VE-Umgebung (Technologie, Features, Bedienung), Kurzbeschreibung Backup-Server als Vorarbeit (Technologie, Features, Bedienung) - Einbettung der IPA-Testumgebung in Layer 3-Netzplan des Rafisa-Netzwerkes (produktive Server, produktive VLANs, Firewall, keine Switches, keine Drucker, keine PCs) (I2) - Analyse und Darstellung des zugesendeten SOLL-Planes aus Fribourg, Klärung von Unklarheiten (Vorarbeit) - Beschreibung der Firmenstandards für das Namenskonzept (Information kann dem Rafisa-Wiki entnommen werden) - Beschreibung der Firmenstandards für Netzwerke der Rafisa (VLANs, Berechtigungsmatrix, kann dem Rafisa-Wiki entnommen werden) - Kurzbeschreibung Rafisa-Firewall (Technologie, Features, Bedienung) - Kurzbeschreibung Unify Controller (Technologie, Features, Bedienung) ==== 2. Aufzeigen von Lösungsvarianten ==== Bei IT-Projekten gibt es oft verschiedene Lösungen zur Erreichung der Projektvorgaben. Zu folgenden Vorgaben sollen Lösungsvarianten gesucht werden: - Einrichten Testumgebung: Subnetze für die zwei zur Verfügung gestellten VLANs, welche gehen, welche nicht - Einrichten der Switches: Kann der Firmenstandard Dietikon 1:1 übernommen werden? Welche VLANs sind auf den jeweiligen Switches zu realisieren - Einrichten der Switches: Wo wird Link-Aggregation (LACP) benötigt - Einrichten der Firewall: Kann der Firmenstandard Dietikon 1:1 übernommen werden? Welche VLANs sind auf der Firewall zu realisieren - Einrichten der Firewall: Rules für die Zugriffsberechtigungen für die VLANs (Welche Kombinationen von Block, Deny und Allow sind sinnvoll) - Einrichten der Firewall: VPN-Tunnel zwischen den Standorten (Technologie, Konfigurationsmöglichkeiten) - Einrichten der WLAN-Netzwerke: Welche Features des Unify Controllers werden realisiert - Einrichten der WLAN-Netzwerke: Welche Varianten der Anmeldung und Zuordung in das vorgeschriebene VLAN gibt es - Backup und Restore: Welche Möglichkeiten der Sicherung der Konfigfiles der Switches und der Firewall gibt es - Backup und Restore: Rahmenbedingungen (Datenmenge, Transferzeiten, Aufbewahrungsfrist, Sicherungsperiodizitäten und applikatorische Vorgaben) ==== 3. Entscheidung für Lösungsvariante (I3) ==== Nachdem Lösungsvarianten erarbeitet worden sind, müssen nun in untenstehenden Bereichen begründete Entscheidungen getroffen werden. Zudem soll ein SOLL-Netzplan der Testumgebung erstellt werden: SOLL-Planung, welche auf begründeten Entscheidungen über die Lösungsvarianten beruht (s. Aufgabe 2)\\ SOLL-Netzplan der Testumgebung mit allen beteiligten Systemen (Server, Switches, Arbeitsplatzrechner, Firewalls, WLAN-AP) ==== 4. Einrichten der Switches (I4) ==== Die Vorgaben für die Einrichtung der Switches sind: - Hostnames gemäss Firmenstandard oder begründeter Abweichung erstellt - Alle VLANs gemäss Firmenstandard oder begründeter Abweichung erstellt - Administrative Zugänge in Management-VLAN - LACPs gemäss Planung erstellt - Kontrolle zur Vermeidung von Loops eingerichtet - Zeitserver eingerichet - Vlans sind in Rafisa-Wiki dokumentiert ==== 5. Einrichten der Firewall (I5) ==== - Basiseinrichtung: Hostname gemäss Firmenstandard erstellt, Admin-User eingerichtet, Zeitserver eingerichtet - Alle VLANs gemäss Firmenstandard oder begründeter Abweichung erstellt - Alle Rules gemäss Firmenstandard (Berechtiungsmatrix) oder begründeter Abweichung erstellt - OpenVPN Site-to-Site eingerichtet - VLANs sind in Rafisa-Wiki dokumentiert ==== 6. Einrichten der Wireless-Netzwerke (I6) ==== Die Vorgaben für die Wireless-Lösung sind: - Ubuntu 20.04 LTS-VM auf Proxmox eingerichtet und dokumentiert (Hostname gemäss Firmenstandard ode begründeter Abweichung, Adressierung fix, selbst gewählt, VLAN gemäss Planung, Zeitserver eingerichtet) - Unify-Controller über Webinterface in Management-VLAN erreichbar - Anmeldung der WLAN-Clients mit sicherer Verschlüsselungsmethode - Automatische Zuordnung der Clients in unterschiedliche VLANs (Learners -> automatisch in VLAN für Learners, Employees -> automatisch in VLAN für Employees) ==== 7. Backup und Restore (I7) ==== Als Vorarbeit wird ein PC mit der Backup-Lösung BackupPC eingerichtet. Mit Hilfe von BackupPC sollen die Konfigurationsdateien der Switches und der Firewall gesichert werden. ==== Dokumentationen ==== * Layer3-Netzplan der Rafisa * Netzplan der Testumgebung * Dokumentation der VLANs auf den Switches im Rafisa Wiki (Markdown-Quellcode im Anhang) * Dokumentation der VLANs auf der Firewall im Rafisa Wiki (Markdown-Quellcode im Anhang) ==== Testing (mindestens) ==== * Vorgaben für die Einrichtung der Switches sind erfüllt * Vorgaben für die Einrichtung der Firewall sind erfüllt * Vorgaben für die Einrichtung des WLAN-Netzwerkes sind erfüllt * Vorgaben für das Backup sind erfüllt