IPA Fragestellung Saba
Ausgangslage
In der Rafisa Informatik GmbH werden zurzeit 50 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik zu InformatikerInnen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb bietet die Rafisa auch Eignungsabklärungen, Arbeitstrainings, Vorbereitungen für eine Informatik-Ausbildung sowie Bewerbungs- und Job-Coachings an.
Die Firma befindet sich in einer Wachstumsphase, neben dem Hauptort Dietikon kamen als Standorte Bern, Fribourg und Zug hinzu. Die Standorte sind bisher weitgehend autonom, alle verfügen über eine nach eigenen Vorgaben erstellte IT-Infrastruktur. Die Geschäftsleitung hat nun beschlossen, die Netzwerk-Infrastruktur zu vereinheitlichen. Der in Dietikon entwickelte Firmenstandard soll auf die anderen Standorte übertragen werden. Zudem sollen die Standorte über ein Site-to-Site-VPN angebunden werden. Am Beispiel der Rafisa Fribourg wird in dieser IPA die Anbindung vorbereitet.
Detaillierte Aufgabestellung
In einer Testumgebung soll eine Lösung für die Netzwerk-Infrastruktur des Standortes Fribourg erarbeitet werden. In Vorarbeiten wurden die Bedürfnisse von Fribourg abgeklärt, sie liegen in einem SOLL-Netzplan vor. Firewall und Switches sind so zu konfigurieren, dass sie zum einen dem Firmenstandard genügen und zum anderen möglichst ohne grossen Konfigurationsaufwand in Fribourg eingebaut werden können. Es ist zu Überprüfen, ob der Firmenstandard Dietikon einfach übernommen werden kann, oder wo allenfalls Anpassungen nötig sind. Des weiteren soll die Site-To-Site-Anbindung mit einer zweiten Firewall realisiert und getestet werden. Als weitere Aufgaben sind ein WLAN-Netzwerk einzurichten und eine Backuplösung zu realisieren.
Zur Verfügung stehende Hardware und Services
Hardware
1x Dedizierter Rack-Server
1x PC mit BackupPC (Vorarbeit)
2x Firewall pfSense auf APU-Hardware (Die FW-Zürich wird als Vorarbeit mit VLANs gemäss Firmenstandard aufgesetzt)
2x Managed Switch 24-Port
1x Managed Switch 48-Port
1x Managed Switch 8-Port
2x Arbeitsplatzrechner für Doku und Testing (Installation als Vorarbeit)
1x Unify-AP
Services
Proxmox-VE Virtualisierungsplattform (Installation als Vorarbeit)
2x VLAN für den Aufbau der Testumgebung
Folgende Unteraufgaben sind zu lösen (Verweise auf die individuellen Beurteilungskriterien sind mit den Kürzeln I1-I7 gekennzeichnet):
1. Erfassung IST-Zustand (I1)
Erfassung der zur Verfügung gestellte Hardware (Server und PCs: Modellbezeichnung, CPUs, Memory, Festplatten, Netzwerk-Interfaces. Switch: Modellbezeichnung, Übertragungsrate, Anzahl Ports, Firmware-Version); Access-Point (Anzahl Ports, WLAN-Standards, Frequenzbänder, Verschlüsselungsmöglichkeiten), Firewall (Modellbezeichnung, CPUs, Memory, Festplatten, Netzwerk-Interfaces, Übertragungsrate)
Erfassung der zur Verfügung gestellte Services: Kurzbeschreibung Proxmox VE-Umgebung (Technologie, Features, Bedienung), Kurzbeschreibung Backup-Server als Vorarbeit (Technologie, Features, Bedienung)
Einbettung der IPA-Testumgebung in Layer 3-Netzplan des Rafisa-Netzwerkes (produktive Server, produktive VLANs, Firewall, keine Switches, keine Drucker, keine PCs) (I2)
Analyse und Darstellung des zugesendeten SOLL-Planes aus Fribourg, Klärung von Unklarheiten (Vorarbeit)
Beschreibung der Firmenstandards für das Namenskonzept (Information kann dem Rafisa-Wiki entnommen werden)
Beschreibung der Firmenstandards für Netzwerke der Rafisa (VLANs, Berechtigungsmatrix, kann dem Rafisa-Wiki entnommen werden)
Kurzbeschreibung Rafisa-Firewall (Technologie, Features, Bedienung)
Kurzbeschreibung Unify Controller (Technologie, Features, Bedienung)
2. Aufzeigen von Lösungsvarianten
Bei IT-Projekten gibt es oft verschiedene Lösungen zur Erreichung der Projektvorgaben. Zu folgenden Vorgaben sollen Lösungsvarianten gesucht werden:
Einrichten Testumgebung: Subnetze für die zwei zur Verfügung gestellten VLANs, welche gehen, welche nicht
Einrichten der Switches: Kann der Firmenstandard Dietikon 1:1 übernommen werden? Welche VLANs sind auf den jeweiligen Switches zu realisieren
Einrichten der Switches: Wo wird Link-Aggregation (LACP) benötigt
Einrichten der Firewall: Kann der Firmenstandard Dietikon 1:1 übernommen werden? Welche VLANs sind auf der Firewall zu realisieren
Einrichten der Firewall: Rules für die Zugriffsberechtigungen für die VLANs (Welche Kombinationen von Block, Deny und Allow sind sinnvoll)
Einrichten der Firewall: VPN-Tunnel zwischen den Standorten (Technologie, Konfigurationsmöglichkeiten)
Einrichten der WLAN-Netzwerke: Welche Features des Unify Controllers werden realisiert
Einrichten der WLAN-Netzwerke: Welche Varianten der Anmeldung und Zuordung in das vorgeschriebene VLAN gibt es
Backup und Restore: Welche Möglichkeiten der Sicherung der Konfigfiles der Switches und der Firewall gibt es
Backup und Restore: Rahmenbedingungen (Datenmenge, Transferzeiten, Aufbewahrungsfrist, Sicherungsperiodizitäten und applikatorische Vorgaben)
3. Entscheidung für Lösungsvariante (I3)
Nachdem Lösungsvarianten erarbeitet worden sind, müssen nun in untenstehenden Bereichen begründete Entscheidungen getroffen werden. Zudem soll ein SOLL-Netzplan der Testumgebung erstellt werden:
SOLL-Planung, welche auf begründeten Entscheidungen über die Lösungsvarianten beruht (s. Aufgabe 2)
SOLL-Netzplan der Testumgebung mit allen beteiligten Systemen (Server, Switches, Arbeitsplatzrechner, Firewalls, WLAN-AP)
4. Einrichten der Switches (I4)
Die Vorgaben für die Einrichtung der Switches sind:
Hostnames gemäss Firmenstandard oder begründeter Abweichung erstellt
Alle VLANs gemäss Firmenstandard oder begründeter Abweichung erstellt
Administrative Zugänge in Management-VLAN
LACPs gemäss Planung erstellt
Kontrolle zur Vermeidung von Loops eingerichtet
Zeitserver eingerichet
Vlans sind in Rafisa-Wiki dokumentiert
5. Einrichten der Firewall (I5)
Basiseinrichtung: Hostname gemäss Firmenstandard erstellt, Admin-User eingerichtet, Zeitserver eingerichtet
Alle VLANs gemäss Firmenstandard oder begründeter Abweichung erstellt
Alle Rules gemäss Firmenstandard (Berechtiungsmatrix) oder begründeter Abweichung erstellt
OpenVPN Site-to-Site eingerichtet
VLANs sind in Rafisa-Wiki dokumentiert
6. Einrichten der Wireless-Netzwerke (I6)
Die Vorgaben für die Wireless-Lösung sind:
Ubuntu 20.04 LTS-VM auf Proxmox eingerichtet und dokumentiert (Hostname gemäss Firmenstandard ode begründeter Abweichung, Adressierung fix, selbst gewählt, VLAN gemäss Planung, Zeitserver eingerichtet)
Unify-Controller über Webinterface in Management-VLAN erreichbar
Anmeldung der WLAN-Clients mit sicherer Verschlüsselungsmethode
Automatische Zuordnung der Clients in unterschiedliche VLANs (Learners → automatisch in VLAN für Learners, Employees → automatisch in VLAN für Employees)
7. Backup und Restore (I7)
Als Vorarbeit wird ein PC mit der Backup-Lösung BackupPC eingerichtet. Mit Hilfe von BackupPC sollen die Konfigurationsdateien der Switches und der Firewall gesichert werden.
Dokumentationen
Layer3-Netzplan der Rafisa
Netzplan der Testumgebung
Dokumentation der VLANs auf den Switches im Rafisa Wiki (Markdown-Quellcode im Anhang)
Dokumentation der VLANs auf der Firewall im Rafisa Wiki (Markdown-Quellcode im Anhang)
Testing (mindestens)
Vorgaben für die Einrichtung der Switches sind erfüllt
Vorgaben für die Einrichtung der Firewall sind erfüllt
Vorgaben für die Einrichtung des WLAN-Netzwerkes sind erfüllt
Vorgaben für das Backup sind erfüllt