Inhaltsverzeichnis

Firmenstandards für das Netzwerk der Rafisa Informatik GmbH

Version Status Datum Author URL
0.1 Erster Entwurf 08.08.2019 Egil Rüefli
0.2 Ergänzungen 08.09.2019 Richi Stammherr, Tim de Vries, Silvan Dux, Egil Rüefli
1.0 Review und Freigabe 08.09.2020 Richi Stammherr, Egil Rüefli
1.1 Ergänzungen 11.12.2021 Egil Rüefli
1.2 Ergänzungen 07.03.2023 Egil Rüefli
1.2.1 Korrekturen 07.03.2023 Fabio Pagotto

Subnetz-Konzept

Alle Standorte erhalten ein /24 Netz aus dem grösseren privaten Netz 172.16/12, dh. 172.16.0.0/16 bis 172.31.0.0/16. Die VLANs werden dann in die jeweiligen /24-Subnetze unterteilt, also z.B. 172.16.1.0/24, 172.16.2.0/24 usw.

Netzadressbereich CIDR-Notation Verkürzte CIDR-Notation Anzahl Adressen Anzahl Netze gemäss Netzklasse (historisch)
172.16.0.0 bis 172.31.255.255 172.16.0.0/12 172.16/12 220 = 1.048.576 Klasse B: 16 private Netze mit jeweils 65.536 Adressen; 172.16.0.0/16 bis 172.31.0.0/16

VLANs der Rafisa Dietikon

rafisa.org - 172.16.0.0/12

VLAN Name Kürzel Funktion VID IP-Adresse FW-Interface-Name DHCP-Server
VLAN Management 01
VLAN01 MGMT Management 01 172.16.1.0/24 VLAN01_MGMT
VLAN Server 10-19
VLAN10 SRVAUTH Server Authentifizierung 10 172.16.10.0/24 VLAN10_SRVAUTH
VLAN13 SRVPUB Server für alle am STAO 13 172.16.13.0/24 VLAN13_SRVPUB
VLAN14 SRVEMPL Server Ausbildner 14 172.16.14.0/24 VLAN14_SRVEMPL
VLAN Clients 20-29
VLAN21 CLEMPL Clients Ausbildner 21 172.16.21.0/24 VLAN21_CLEMPL
VLAN22 CLLEARN Clients Lernende 22 172.16.22.0/24 VLAN22_CLLEARN
VLAN23 CLGUEST Clients Guest (WLAN) 23 172.16.23.0/24 VLAN23_CLGUEST
VLAN Drucker 40
VLAN40 LP Drucker 40 172.16.40.0/24 VLAN40_LP
VLAN Labor 50-59
VLAN50 LAB00 Labor 00 50 172.16.50.0/24 VLAN50_LAB00
VLAN51 LAB01 Labor 01 51 172.16.51.0/24 VLAN51_LAB01
VLAN52 LAB02 Labor 02 52 172.16.52.0/24 VLAN52_LAB02
VLAN53 LAB03 Labor 03 53 172.16.53.0/24 VLAN53_LAB03
VLAN54 LAB04 Labor 04 54 172.16.54.0/24 VLAN54_LAB04
VLAN55 LAB05 Labor 05 55 172.16.55.0/24 VLAN55_LAB05
VLAN56 LAB06 Labor 06 56 172.16.56.0/24 VLAN55_LAB06
VLAN57 LAB07 Labor 07 57 172.16.57.0/24 VLAN55_LAB07
VLAN58 LAB08 Labor 08 58 172.16.58.0/24 VLAN55_LAB08
VLAN59 LAB09 Labor 09 59 172.16.59.0/24 VLAN55_LAB09

Berechtigungsmatrix

Die Matrix wird Zeile nach Spalte gelesen (Zugriff von Zeile nach Spalte erlaubt/nicht erlaubt)

VLAN 01 10 13 14 21 22 23 40 51 52 53 54 55 56 57 58 59 WAN VPN-EXT
01
10
13
14
21
22
23
40
50
51
52
53
54
55
56
57
58
59
WAN
VPN-EXT

IP-Zuteilung der Geräte der Rafisa Standort Dietikon

VLAN Kürzel/Hostname IP-Adresse Funktion Ort
VLAN Management
VLAN01 MGMT 172.16.1.0/24 Management
fw-zh-ruga-01 172.16.1.1 Firewall
prox-zh-ruga-01 172.16.1.21 Proxmox VE Node
prox-zh-ruga-02 172.16.1.22 Proxmox VE Node
prox-zu-ruga-04 172.16.1.24 Proxmox VE Node
uni-zh-01 172.16.1.30 Unifi Controller
ap-zh-01 172.16.1.31 Unifi Accesspoint
ap-zh-02 172.16.1.32 Unifi Accesspoint
ap-zh-03 172.16.1.33 Unifi Accesspoint
ap-zh-04 172.16.1.34 Unifi Accesspoint
ap-zh-05 172.16.1.35 Unifi Accesspoint
bkp-zh-r02b-01 172.16.1.100 Backup-Server
VLAN Authentifizierung
VLAN10 AUTH 172.16.10.0/24
dc-zh-01 172.16.10.31 Domain Controller 01
dc-zh-02 172.16.10.32 Domain Controller 02
VLAN Server PUB
VLAN13 SRVPUB 172.16.13.0/24
fs-zh-02 172.16.13.41 Fileserver
VLAN Server Ausbildner
VLAN14 SRVEMPL 172.16.14.0/24
fs-zh-01 172.16.14.41 Fileserver
db-zh-01 172.16.14.5 DB-Server
VLAN Printers
VLAN40 LP 172.16.40.0/24
prts-zh-01 172.16.40.11 Printserver

Rafisa Namenskonzept

Benutzer

Benuternamen setzen sich zusammen aus dem ersten Buchstaben des Vornamens plus dem Nachnamen. Sollten sich bei neuen Nutzern gleichlautende Benutzernamen ergeben, wird die Anzahl Buchstaben des Vornamenkürzels um 1 erhöht.Bei identischen Vor- und Nachnamen wird das Benutzerkürzel um eine fortlaufende Nummer, beginnend bei 01 ergänzt.

Beispiele:

Gruppen

Geräte

Der Gerätename setzt sich zusammen aus einem Kürzel für die Funktion, dem Kürzel für den physikalischen Standort sowie einer fortlaufenden Nummer, beginnend bei 01.

Beispiele:

Kürzel für die Funktionsbezeichnungen

Kürzel Funktion
ap Accesspoint
bkp Backup Server
db Datenbank Server
dc Domain Controller
ds Deployment Server
fs File Server
fw Firewall
mos Monitoring Server
nb Notebook
pc PC
prox Proxmox VE Server
prts Print Server
uc Unifi Controller
sw Switch

Physikalische Standorte

Der physikalische Standort setzt sich zusammen aus dem Kürzel für den Standort sowie einer internen Raumangabe. Bei Geräten, welche in einem Rack stehen, werden anstelle der Raumangabe das Kürzel für das Rack angegeben.

Beispiele:

Kürzel für die Standorte

Kürzel Standortbezeichnung Subnetz
be Bern 172.17.0.0/16
fr Fribourg 172.18.0.0/16
zg Zug 172.19.0.0/16
zh Dietikon 172.16.0.0/16
zh2 Winterthur 172.20.0.0/16

Kürzel für die internen Räume

Zürich
Kürzel Ort
200 Raum 200 im 2. Stock
201 Raum 101 im 2. Stock

Kürzel für Racks

Zürich
Kürzel Racknummer
ruga Rack A im Untergeschoss
rugb Rack B im Untergeschoss
r02a Rack A im 2. Stock
r02b Rack B im 2. Stock
r03a Rack A im 3. Stock
r03b Rack B im 3. Stock
r03c Rack C im 3. Stock
r03d Rack D im 3. Stock
r04a Rack A im 4. Stock

AD-Struktur

Die AD-Struktur ist sehr einfach gehalten. Es gibt Container für die Benutzeraccounts, die Geräte sowie die Gruppen. Bei den Geräten werden Clients und Server unterschieden, bei den Gruppen lokale und globale Sicherheitsgruppen. 

OU=OU-RAFISA,DC=rafisa,DC=org
OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org
OU=RAFISA-Accounts,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org
OU=RAFISA-Computers,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org
OU=RAFISA-Clients,OU=RAFISA-Computers,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org
OU=RAFISA-Servers,OU=RAFISA-Computers,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org
OU=RAFISA-Groups,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org
OU=RAFISA-GlobalSecurityGroups-GS,OU=RAFISA-Groups,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org
OU=RAFISA-LocalSecurityGroups-LS,OU=RAFISA-Groups,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org