Inhaltsverzeichnis
Konzipierung, Aufbau und Anbindung des Netzwerkes für einen externen Firmenstandort - IPA Saba
Glossar
| Begriff | Erklärung |
|---|---|
| KVM | |
| Linux Container | |
| Debian Linux | |
| Proxmox VE | |
| Datendeduplikation | |
| LVM | |
| rsync | |
| VPN-Server | |
| Captive Portal | |
| UTM | |
| Transparent Proxy | |
| IDS | |
| VLAN | Unterscheidung Port basiert vs. Tagged1) |
| LACP |
Dokumentation
- Ordner 01 - 10 auf OneDrive, für Ausbildner freigegeben (Printscreen der Ordnerstruktur und Freigabe)
- Backups der Konfigs der Switches und der Firewall in entsprechenden Tagesordner
- Backup des Ubuntu-Servers ab Einrichtung auf externe Festplatte
Informieren
Erfassung der zur Verfügung gestellten Hardware
Hardware Server und PCs
- Mit welchen Mitteln wurde Hardware erfasst, Programme, Befehle, Internetseite des Herstellers
| Gerät | Modellbezeichnung | CPU | Memory | HD | NW-Adapter |
|---|---|---|---|---|---|
| Proxmox-Server | |||||
| Backup-Server | |||||
| Arbeitsplatzrechner 1 | |||||
| Arbeitsplatzrechner 2 |
Hardware Switches
- Mit welchen Mitteln wurde Hardware erfasst, Programme, Befehle, Internetseite des Herstellers
| Gerät | Modellbezeichnung | Übertragungsrate | Anzahl Ports |
|---|---|---|---|
| Switch 01 | |||
| Switch 02 | |||
| Switch 03 | |||
| Switch 04 |
Hardware Access-Point
- Mit welchen Mitteln wurde Hardware erfasst, Programme, Befehle, Internetseite des Herstellers
| Gerät | Modellbezeichnung | Anzahl Ports | WLAN-Standards | Frequenzbänder | Verschlüsselungsmöglichkeiten |
|---|---|---|---|---|---|
| Access-Point |
Hardware Firewall
- Mit welchen Mitteln wurde Hardware erfasst, Programme, Befehle, Internetseite des Herstellers
| Gerät | Modellbezeichnung | CPU | Memory | Festplatte | Netzwerk-Interfaces | Übertragungsrate |
|---|---|---|---|---|---|---|
| Firewall |
Erfassung der zur Verfügung gestellten Services
Die Virtualisierungsplattform Proxmox VE
- Zusammenfassung2)
- Features3)
- KVM & Container
- Webmanagement
- HA-Cluster
- Virtuelle Netzwerke
- Storages
- Backup
- Firewall
Der Backup-Server BackuPC
In der Rafisa kommt die Backuplösung BackupPC4) zum Einsatz. Dabei handelt es sich um eine freie Disk-zu-Disk Backup-Suite, die in PHP geschrieben ist. Als Übertragungsarten stehen smb für das Backup von Windows-Shares, sowie rsync für die Sicherung der Daten mit Hilfe des rync-Protokolls zur Verfügung. Zusätzlich lassen sich die Funktionalitäten mit Pre- und Post-Backupscripts erweitern. Die Hauptfeatures der Lösung sind:
- Webbasiertes Administrationsinterface: Konfiguration von Backups, Analyse der Logfiles, manuelles Starten und Stoppen von Backups, Browse und Restore von Backupdaten
- Datendeduplikation: Identische Files von mehreren Backups des selben Clients oder von verschiedenen Clients werden nur einmal gespeichert. Das erlaubt Einsparungen im Bereich der benötigten Kapazitäten sowie des Disk I/Os.
- Kompression: Da nur neue Files komprimiert werden müssen, werden die CPUs nur moderat beansprucht
- Open-Source: BackupPC wird auf Github gehostet und unter einer GPL-Lizenz verteilt
- Es wird keine clientseitige Software benötigt
Im Rahmen von Vorarbeiten wurde gemeinsam mit dem Team SRB (ServiceRestoreBackup) ein Backupserver auf der Basis von BackupPC installiert. Der SLA #001: Backup und Restore v.015) entnimmt man, dass folgende Backuparten zur Verfügung stehen:
- Backup von SMB-Shares
- File-Backup von Serversystemen
- Image Backup von Proxmox-VMs
- Backup von Datenbank-Systemen
- Backup der Konfigurationsdateien von Switches und Firewalls (im Aufbau)
In der vorliegenden Arbeit soll also mit dem Backup der Konfigurationsdateien von Switches und Firewall also ein Betrag zur Erweiterung des Backup-Angebots geleistet werden. In der Planung müssen folgende Punkte berücksichtigt werden: Festlegen von Datenmenge, Transferzeiten, Aufbewahrungsfrist, Sicherungsperiodizitäten
Beschreibung der aufzusetzenden Services
pfSense Firewall
pfSense ist eine auf dem Betriebssystem FreeBSD basierende Firewall-Distribution. pfSense lässt sich komplett über ein Webinterface verwalten. Zusätzlich ist der Zugriff über SSH oder über einen seriellen Port möglich. Die eingesetzten Kerntechnologien sind OpenSSL, PHP und Python. Über ein Paketsystem lassen sich die Funktionen der Firewall stark erweitern.
Die Hauptfeatures von pfSense sind6):
- VPN Server
- High Availability
- Load Balancing
- Traffic Shaping
- Captive Portal
- UTM Device
- Firewall / Router
- DNS / DHCP Server
- IDS / IPS
- Transparent Caching Proxy
- Web Content Filter
In der Planung sollen Policies für die Konfiguration des Paketfilters und die Möglichkeiten zur Realisierung der VPN-Site-to-Site-Anbindung näher untersucht werden.
Ubiquiti UniFi Controller
- Controller entweder als Software-Lösung für Windows/Linux/Mac OXS oder als HW-Controller (Cloudkey)
- Java-Paket
- Zentrale Verwaltung aller Unify-Geräte über ein Web-Interface
- Passiver Controller: Die Access-Points werden durch Controller konfiguriert, danach laufen sie autonom, Controller kann auch abgeschaltet werden, ausser man nutzt Guest-Portal-Funktion7)
- Vorteile passiver Controller → wenn Controller nicht läuft, laufen AP's weiter, kein Single Point of Failure
- Nachteile passiver Controller → Informationen über die Funkeigenschaften der Accesspoints und der verbundenen Clients nicht zur Steuerung genutzt. Z.B. sucht AP beim Start einen geeigneten Funkkanal und bleibt auf diesem → Keine Optimierung durch Controller möglich
- Version des Intstallierten Controllers erwähnen
- Hauptfeatures des Controllers8):
- Integration von Grundrissen für das Monitoring der Wireless-Abdeckung
- Detailliertes Reporting und Statistiken
- Wireless-Uplink: Ein mit Kabel angeschlossener AP erlaubt Wireless-Uplinks auf bis zu 4 Geräte.
- Guest-Portal-Support: Mit Voucher-Management
- Multi-Site-Management: Verwalten mehrerer Sites mit nur einem Controller
- Verwalten von WLAN-Gruppen
Firmenstandards für die VLANs der Rafisa Dietikon
Standard-VLANs der Rafisa
- reinkopieren
Berechtigungsmatrix für die Standard-VLANs
- reinkopieren
Firmenstandards für das Namenskonzept
- reinkopieren
L3-Plan IST-Zustand des Projektumfelds
Als Gateway haben die Geräte das Firewall VLAN-Interface des entsprechenden Subnetzes, für das VLAN01-MGMT also z.B. 172.16.1.1/24. Der Gateway für die IPA-Testumgebung ist demnach 172.16.53.1/24. Der Berechtigungsmatrix kann man entnehmen, dass die Zugänge zu allen anderen VLAN's der Rafisa durch Filterrules auf der Firewall geblockt werden. Die Firewall stellt ausser dem Gateway für den Internetzugang einen DHCP-Dienst zur Verfügung, über welchen IP-Adressen aus dem entsprechenden Subnetz, die Gateway-IP sowie die IP-Adressen der DNS-Server verteilt werden. Alle im L3-Diagramm festgehaltenen System verfügen über statische IP-Adressen.
| FQDN | IP-Adresse | OS | Services | Service-Team | Owner |
|---|---|---|---|---|---|
| Server | |||||
| prox-zh-ruga-01.zh.rafisa.org | 172.16.1.21/24 | Proxmox VE | Virtualisierungsplattform | Team Server Services | RS |
| prox-zh-ruga-02.zh.rafisa.org | 172.16.1.22/24 | Proxmox VE | Virtualisierungsplattform | Team Server Services | RS |
| dc-zh-ruga-02.zh.rafisa.org | 172.16.10.22/24 | Windows Server 2019 | DC/AD, DNS | Team Server Services | RS |
| dc-zh-ruga-04.zh.rafisa.org | 172.16.10.24/24 | Windows Server 2019 | DC/AD, DNS | Team Server Services | RS |
| fs-zh-ruga-01.zh.rafisa.org | 172.16.14.21/24 | Windows Server 2019 | Fileserver Employees | Team Server Services | RS |
| fs-zh-ruga-01.zh.rafisa.org | 172.16.15.21/24 | Windows Server 2019 | Fileserver Learners | Team Server Services | RS |
| bkp-zh-r02b-01.zh.rafisa.org | 172.16.1.100/24 | Ubuntu 20.04 LTS | Fileserver Learners | Team Network Services | ER |
| uni-zh-ruga-01.zh.rafisa.org | 172.16.1.30/24 | Ubuntu 20.04 LTS | Ubiquiti WLAN Controller | Team Network Services | ER |
| ap-zh-01-05.zh.rafisa.org | 172.16.1.31-35/24 | AirOS | AP, WPA-Enterprise Radius Auth | Team Network Services | ER |
| Firewall | |||||
| fw-zh-ruga-01.zh.rafisa.org | VLAN 172.16.1.1/24 WAN 46.140.45.118 | pfSense (BSD) | VLAN-Routing, Filtering, VPN Concentrator, DHCP | Team Network Services | ER |
Dartstellung und Analyse des zugesendeten Planes aus Fribourg
- Plan von wem wann erhalten (keine Namen sondern „Stellenleiter Fribourg (SF)“
- Realisierungsdatum: Betriebsferien im August
Analyse IST-Zustand
Das Netzwerk in Fribourg besteht zur Zeit aus den zwei 24-Port Switches sw-fr-s00-10 und sw-fr-s00-12, die über je 2×2 LACP-Trunks miteinander verbunden sind. sw-fr-s00-10 befindet sich im Main-Rack, sw-fr-s00-12 im Server-Rack. Am Switch sw-fr-s00-12 sind über je 2×4 im Teaming-Modus LACP gekoppelten Trunks zwei Server angeschlossen. Beide Server verfügen zudem über ein iLO-Management-System, die über einen separaten Netzwerkadapter an den Server-Switch angeschlossen sind.
In der Legende wird der Netzplan als Physical Transition-Plan bezeichnet. Die beiden Switches sollen im Endzustand durch zwei neue Switches ersetzt werden. In einer Übergangsphase (Transition) sollen die alten Switches mit allen verbundenen Geräten ans Learners-VLAN der neuen Switches angeschlossen werden. Zusätzlich soll ein neuer Switch den Workshop-Room erschliessen, wodurch eine sternförmige, vom Main-Switch ausgehende Topologie entsteht.
Nicht auf dem Plan ersichtlich sind das bestehende Subnet, die Netzwerkdienste DHCP und DNS sowie der Gateway. Auf Nachfrage teilt der SF die folgenden Netzwerkinformationen mit:
Subnetz: 172.21.22.0/24
Gateway: 172.21.22.1 (Swisscom Router Centro Business)
DHCP: 172.21.22.10 (srv-fr-s00-01)
DNS: 172.21.22.10 (srv-fr-s00-01)
Portbelegung Switch sw-fr-s00-10
Bei den nicht genauer spezifizierten Ports handelt es sich um ungetaggte Standardports.
| Ports | VLAN | LACP |
|---|---|---|
| 23-24 | Keine VLANs | LACP-Trunk nach sw-fr-s00-12, Ports 01-02 |
Portbelegung Switch sw-fr-s00-12
Bei den nicht genauer spezifizierten Ports handelt es sich um ungetaggte Standardports.
| Ports | VLAN | LACP |
|---|---|---|
| 01-02 | keine VLANs | LACP-Trunk nach sw-fr-s00-10, Ports 23-24 |
| 05-08 | Keine VLANs | LACP-Trunk für Teaming-NICs auf Server srv-fr-s00-01 |
| 09 | Keine VLANs | iLO |
| 19-22 | keine VLANs | LACP-Trunk für Teaming-NICs auf Server srv-fr-s00-02 |
| 23 | keine VLANs | iLO |
Planen
Einrichten der VLANs
Namenskonzept Racks und Switches
- Namenskonzept hält sich zwar an die Policy Funktion + Physischer Standort + Laufnummern, Racks sind aber nicht nummeriert.
- Der Vorschlag von SF: sw-fr-s00-01, sf-fr-s00-02, sw-fr-s00-03
- Vorschlag, Rack s01, s02, s03
Wahl des Subnetzes
- Vorhanden 172.21.22.0/24
- Integration nach Firmenstandards möglich → 172.21.0.0/16 Standardnetz für Friourg
Mögliche SOLL-Zustände der VLANs
| VLANs Fribourg SOLL | Standard-VLANs Rafisa Dietikon |
|---|---|
| Management | VLAN01_MGMT (172.16.1.0/24) |
| Employees | VLAN21_CLEMPL (172.16.21.0/24) |
| Learners | VLAN22_CLLEARN (172.16.22.0/24) |
| WIFI | |
| Printers | VLAN40_LP (172.16.40.0/24) |
| VLAN10_SRVAUTH (172.16.10.0/24) | |
| VLAN14_SRVEMPL (172.16.14.0/24) | |
| VLAN15_SRVLEARN (172.16.15.0/24) | |
| VLAN23_CLGUEST (172.16.23.0/24) | |
| VLAN51_LAB01 (172.16.51.0/24) | |
| VLAN52_LAB02 (172.16.52.0/24) | |
| VLAN53_LAB02 (172.16.53.0/24) | |
| VLAN54_LAB02 (172.16.54.0/24) | |
| VLAN55_LAB02 (172.16.55.0/24) |
- Realisieren der VLANs Fribourg-SOLL vs Realisieren Standard-VLANs
LACP
sw-fr-s01-01
- keine Varianten
| Trunk | Ports | Tagged/Untagged | Beschreibung |
|---|---|---|---|
| T1 | 01 - 04 | T | LACP-Trunk auf Switch sw-fr-s02-01 |
| T2 | 05 - 06 | T | LACP-Trunk auf Switch sw-fr-s03-01 |
| T3 | 41 - 42 | U | LACP-Trunk auf Switch sw-fr-s00-12 |
sw-fr-s02-01
- 2 Varianten → Teaming-Trunks wurden vergessen
Variante 1 (bestellt)
| Trunk | Ports | Tagged/Untagged | Beschreibung |
|---|---|---|---|
| T1 | 05 - 08 | T | LACP-Trunk auf Switch sw-fr-s01-01 |
| T2 | 23 - 24 | U | LACP-Trunk auf Switch sw-fr-s00-01 |
Variante 2 (vorgeschlagen)
| Trunk | Ports | Tagged/Untagged | Beschreibung |
|---|---|---|---|
| T1 | 05 - 08 | T | LACP-Trunk auf Switch sw-fr-s01-01 |
| T2 | 23 - 24 | U | LACP-Trunk auf Switch sw-fr-s00-01 |
| T3 | 05 - 08 | T | LACP-Teaming-Trunk auf srv-fr-s00-01 |
| T4 | 19 - 22 | T | LACP-Teaming-Trunk auf srv-fr-s00-02 |
sw-fr-s03-01
- keine Varianten
| Trunk | Ports | Tagged/Untagged | Beschreibung |
|---|---|---|---|
| T1 | 03 - 04 | T | LACP-Trunk auf Switch sw-fr-s01-01 |
Nicht zugeordnete Ports
- Zuordnung
WLAN: WPA2-Enterprise vs. WPA2
- wie im IST-Zustand erfasst unterstützen die Unifi-AP's sowohl WPA2 als auch WPA2-Enterprise (noch bei IST-Zustand reinschreiben!)
| Funktion | WPA2-Personal | WPA2-Enterprise |
|---|---|---|
| Verschlüsselung | AES-CCMP | AES-CCMP |
| Authentifizierung | Preshared Key (PSK) | Radius + Zertifikate |
| VLAN | keine dynamische Zuteilung | dynamische Zuteilung nach Login |
- WPA2-Enterprise bietet Vorteile: keine geteilten Passwörter, Anbindung an AD über Radius möglich, dynamische Zuordung von VLANs → (werden nur 2 WLAN-Netzwerke benötigt: 1xFirma mit dynamischer VLAN-Zuordung, 1xGast mit WPA2-Personal und allenfalls Vouchers)
- Bei einer Lösung mit WPA2-Personal werden für die automatische Zuordnung zu den VLANs 3 WLAN-Netzwerke mit PSKs benötigt
- Für WPA2-Enterprise werden aber benötigt: Zertifikate (Zertifikatsstelle) + Radius-Server und AD
Backup und Restore
Backupvarianten
Die Aufgabe besteht darin, die Configs via BackupPC im PULL-Verfahren automatisch zu sichern.
Switches
- Im Knowledge-Base Artikel von Zyxel werden 2 Möglichkeiten erwähnt11): 1. die Konfig Via commandline vom Switch aus auf einen tftp Server kopieren → Problem: geht nur manuell 2. Via snmp auf tftp-Server Problem: Geht nur bei grossen Switches von Zyxel, in der Rafisa sind auch kleine 1920er im Einsatz
- In weiterem Artikel12) wird die Möglichkeit erwähnt, per SSH das Konfig-File zu sichern → via BackupPC mit einem Prebackup-Script machbar
- Es gibt auch die Möglichkeit, das Konfig-File per FTP-Zugriff zu sichern → via BackupPC mit einem Prebackup-Script machbar.
- Mit BackupPC sind also die Möglichkeiten FTP vs. SSH-Backups
| Backupart | Vorgehen | Vorteile | Nachteile |
|---|---|---|---|
| FTP-Backup | Prebackup-Script: 1. FTP-Login Switch 2. get config (Konfig-File wird in lokales Verzeichnis auf BackupPC gespeichert) BackupPC-Rsync: Rsync dieses Verzeichnisses durch BackupPC | FTP ist stabil und erprobt, keine weiteren Kommandos benötigt | unverschlüsselte Übertragung |
| SSH-Backup | Prebackup-Script: 1. SSH-Login Switch 2. show running-config → Umleitung in ein lokales File auf BackupPC BackupPC-Rsync: Rsync dieses Verzeichnisses durch BackupPC | Verschlüsselte Übertragung möglich | zusätzlicher Befehl auf Switch (show running-config) und Umleitung in ein lokales File → kompliziert und umständlich, zusätzlicher Output muss aus Konfig-File entfernt werden |
Firewall
- manueller Backup aus dem GUI möglich → Problem: nicht automatisch
- Konfig File ist auf pfSense in der Datei /conf/config.xml gespeichert
- Zugriff nur über SSH möglich → scp (secure copy kann verwendet werden)
| Backupart | Vorgehen | Vorteile | Nachteile |
|---|---|---|---|
| SSH-Copy | Prebackup-Script: Mit dem Befehl scp das Konfig-File in ein lokales Verzeichnis auf BackupPC kopierenBackupPC-Rsync: Rsync dieses Verzeichnisses durch BackupPC | Backup ist verschlüsselt | keine |
Entscheiden
Einrichten der VLANs
Namenskonzept Racks und Switches
Wahl des Subnetzes
Zu realisierende VLANs
Zu realisierende LACPs
Zu realisierende WLAN-Ports
Portbelegung sw-fr-s01-01
Portbelegung sw-fr-s02-02
Portbelegung sw-fr-s03-03
Backup und Restore
Backupvariante für Switches und Firewall
Für die Switches wird das FTP-Backup gewählt. Das Backup-File kann mit einem bewährten, stabilen Verfahren gesichert werden. Es werden zudem keine zusätzlichen Switch-Befehle oder aufwändige Umleitungen der Ausgabe auf dem Switch in ein lokales File benötigt. Der Nachteil des unverschlüsselten Transfers der Dateien ist nicht schlimm, da sich die FTP-Zugänge aller Switches im gut gesicherten Management-VLAN befinden. Das Copy via FTP wird mit Hilfe eines Prebackup-Scripts realisiert, das das in ein lokales Verzeichnis auf dem BackupPC kopiert. Danach wird es mit dem BackupPC-Rsync in ein BackupPC-Archiv abgelegt.
Für die Firewall wird mit einem Prebackup-Script das Backup-File über scp in eine lokales Verzeichnis kopiert und danach ebenfalls mit BackupPC-Rsync in ein BackupPC-Archiv verschoben.
Rahmenbedingungen Backup und Restore
| Rahmenbedingung | Backup IPA | Vorschlag produktive Umgebung |
|---|---|---|
| Datenmenge | sehr gering, ca. 1MB (3x Textfile für Switches, 1x Textfile für FW) | |
| Transferzeiten | sehr klein, bei ca. 35MB/sec (Auskunft Team Backup und Restore) | |
| Aufbewahrungsfrist | bis Ende IPA | 90 Tage (s. SLA Backup und Restore) |
| Sicherungsperiodizitäten | jede Nacht zwischen 09:30 und 07:00 (s. SLA Backup und Restore), jede Woche ein Full-Backup, während der Woche inkrimentelle Backups | |
| Applikatorische Vorgaben | BackupPC mit Pre- und Postbackupscripts | |
Realisieren
Kontrollieren
Auswerten
9)
http://www.summitdata.com/blog/wpa2-enterprise-vs-wpa2-personal/#:~:text=What's%20the%20Difference%20Between%20WPA2%20Enterprise%20and%20WPA2%20Personal%3F&text=WPA2%20Enterprise%20uses%20IEEE%20802.1,designed%20for%20use%20in%20organizations.