de:team:sabareeshan-nadeswaran:rafisa_firmenstandards_ipa
Inhaltsverzeichnis
Firmenstandards für das Netzwerk der Rafisa Informatik GmbH
| Version | Status | Datum | Author | URL |
|---|---|---|---|---|
| 0.1 | Erster Entwurf | 08.08.2019 | Egil Rüefli | |
| 0.2 | Ergänzungen | 08.09.2019 | Richi Stammherr, Tim de Vries, Silvan Dux, Egil Rüefli | |
| 1.0 | Review und Freigabe | 08.09.2020 | Richi Stammherr, Egil Rüefli | |
| 1.1 | Ergänzungen | 11.12.2021 | Egil Rüefli | |
| 1.2 | Ergänzungen | 07.03.2023 | Egil Rüefli | |
| 1.2.1 | Korrekturen | 07.03.2023 | Fabio Pagotto |
Subnetz-Konzept
Alle Standorte erhalten ein /24 Netz aus dem grösseren privaten Netz 172.16/12, dh. 172.16.0.0/16 bis 172.31.0.0/16. Die VLANs werden dann in die jeweiligen /24-Subnetze unterteilt, also z.B. 172.16.1.0/24, 172.16.2.0/24 usw.
| Netzadressbereich | CIDR-Notation | Verkürzte CIDR-Notation | Anzahl Adressen | Anzahl Netze gemäss Netzklasse (historisch) |
|---|---|---|---|---|
| 172.16.0.0 bis 172.31.255.255 | 172.16.0.0/12 | 172.16/12 | 220 = 1.048.576 | Klasse B: 16 private Netze mit jeweils 65.536 Adressen; 172.16.0.0/16 bis 172.31.0.0/16 |
VLANs der Rafisa Dietikon
rafisa.org - 172.16.0.0/12
| VLAN Name | Kürzel | Funktion | VID | IP-Adresse | FW-Interface-Name | DHCP-Server |
|---|---|---|---|---|---|---|
| VLAN Management | 01 | |||||
| VLAN01 | MGMT | Management | 01 | 172.16.1.0/24 | VLAN01_MGMT | ✘ |
| VLAN Server | 10-19 | |||||
| VLAN10 | SRVAUTH | Server Authentifizierung | 10 | 172.16.10.0/24 | VLAN10_SRVAUTH | ✘ |
| VLAN13 | SRVPUB | Server für alle am STAO | 13 | 172.16.13.0/24 | VLAN13_SRVPUB | ✘ |
| VLAN14 | SRVEMPL | Server Ausbildner | 14 | 172.16.14.0/24 | VLAN14_SRVEMPL | ✘ |
| VLAN Clients | 20-29 | |||||
| VLAN21 | CLEMPL | Clients Ausbildner | 21 | 172.16.21.0/24 | VLAN21_CLEMPL | ✔ |
| VLAN22 | CLLEARN | Clients Lernende | 22 | 172.16.22.0/24 | VLAN22_CLLEARN | ✔ |
| VLAN23 | CLGUEST | Clients Guest (WLAN) | 23 | 172.16.23.0/24 | VLAN23_CLGUEST | ✔ |
| VLAN Drucker | 40 | |||||
| VLAN40 | LP | Drucker | 40 | 172.16.40.0/24 | VLAN40_LP | ✘ |
| VLAN Labor | 50-59 | |||||
| VLAN50 | LAB00 | Labor 00 | 50 | 172.16.50.0/24 | VLAN50_LAB00 | ✔ |
| VLAN51 | LAB01 | Labor 01 | 51 | 172.16.51.0/24 | VLAN51_LAB01 | ✔ |
| VLAN52 | LAB02 | Labor 02 | 52 | 172.16.52.0/24 | VLAN52_LAB02 | ✔ |
| VLAN53 | LAB03 | Labor 03 | 53 | 172.16.53.0/24 | VLAN53_LAB03 | ✔ |
| VLAN54 | LAB04 | Labor 04 | 54 | 172.16.54.0/24 | VLAN54_LAB04 | ✔ |
| VLAN55 | LAB05 | Labor 05 | 55 | 172.16.55.0/24 | VLAN55_LAB05 | ✔ |
| VLAN56 | LAB06 | Labor 06 | 56 | 172.16.56.0/24 | VLAN55_LAB06 | ✔ |
| VLAN57 | LAB07 | Labor 07 | 57 | 172.16.57.0/24 | VLAN55_LAB07 | ✔ |
| VLAN58 | LAB08 | Labor 08 | 58 | 172.16.58.0/24 | VLAN55_LAB08 | ✔ |
| VLAN59 | LAB09 | Labor 09 | 59 | 172.16.59.0/24 | VLAN55_LAB09 | ✔ |
Berechtigungsmatrix
Die Matrix wird Zeile nach Spalte gelesen (Zugriff von Zeile nach Spalte erlaubt/nicht erlaubt)
| VLAN | 01 | 10 | 13 | 14 | 21 | 22 | 23 | 40 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 | 59 | WAN | VPN-EXT |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 01 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 10 | ✘ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✔ |
| 13 | ✘ | ✔ | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
| 14 | ✘ | ✔ | ✘ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
| 21 | ✘ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 22 | ✘ | ✔ | ✔ | ✘ | ✘ | ✔ | ✘ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
| 23 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
| 40 | ✘ | ✔ | ✔ | ✔ | ✘ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
| 50 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
| 51 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
| 52 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
| 53 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
| 54 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
| 55 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ | ✘ | ✘ | ✔ | ✘ |
| 56 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ | ✘ | ✔ | ✘ |
| 57 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ | ✔ | ✘ |
| 58 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✔ | ✘ |
| 59 | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
| WAN | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ | ✘ |
| VPN-EXT | ✘ | ✔ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✘ | ✔ |
IP-Zuteilung der Geräte der Rafisa Standort Dietikon
| VLAN | Kürzel/Hostname | IP-Adresse | Funktion | Ort |
|---|---|---|---|---|
| VLAN Management | ||||
| VLAN01 | MGMT | 172.16.1.0/24 | Management | |
| fw-zh-ruga-01 | 172.16.1.1 | Firewall | ||
| prox-zh-ruga-01 | 172.16.1.21 | Proxmox VE Node | ||
| prox-zh-ruga-02 | 172.16.1.22 | Proxmox VE Node | ||
| prox-zu-ruga-04 | 172.16.1.24 | Proxmox VE Node | ||
| uni-zh-01 | 172.16.1.30 | Unifi Controller | ||
| ap-zh-01 | 172.16.1.31 | Unifi Accesspoint | ||
| ap-zh-02 | 172.16.1.32 | Unifi Accesspoint | ||
| ap-zh-03 | 172.16.1.33 | Unifi Accesspoint | ||
| ap-zh-04 | 172.16.1.34 | Unifi Accesspoint | ||
| ap-zh-05 | 172.16.1.35 | Unifi Accesspoint | ||
| bkp-zh-r02b-01 | 172.16.1.100 | Backup-Server | ||
| VLAN Authentifizierung | ||||
| VLAN10 | AUTH | 172.16.10.0/24 | ||
| dc-zh-01 | 172.16.10.31 | Domain Controller 01 | ||
| dc-zh-02 | 172.16.10.32 | Domain Controller 02 | ||
| VLAN Server PUB | ||||
| VLAN13 | SRVPUB | 172.16.13.0/24 | ||
| fs-zh-02 | 172.16.13.41 | Fileserver | ||
| VLAN Server Ausbildner | ||||
| VLAN14 | SRVEMPL | 172.16.14.0/24 | ||
| fs-zh-01 | 172.16.14.41 | Fileserver | ||
| db-zh-01 | 172.16.14.5 | DB-Server | ||
| VLAN Printers | ||||
| VLAN40 | LP | 172.16.40.0/24 | ||
| prts-zh-01 | 172.16.40.11 | Printserver |
Rafisa Namenskonzept
Benutzer
Benuternamen setzen sich zusammen aus dem ersten Buchstaben des Vornamens plus dem Nachnamen. Sollten sich bei neuen Nutzern gleichlautende Benutzernamen ergeben, wird die Anzahl Buchstaben des Vornamenkürzels um 1 erhöht.Bei identischen Vor- und Nachnamen wird das Benutzerkürzel um eine fortlaufende Nummer, beginnend bei 01 ergänzt.
Beispiele:
- h.muster → Hans Muster
- he.muster → Hedwig Muster
- her.muster → Herta Muster
- h.muster01 → Hans Muster
Gruppen
Geräte
Der Gerätename setzt sich zusammen aus einem Kürzel für die Funktion, dem Kürzel für den physikalischen Standort sowie einer fortlaufenden Nummer, beginnend bei 01.
Beispiele:
- dc-zh-ruga-01
- sw-zh-r02a-03
Kürzel für die Funktionsbezeichnungen
| Kürzel | Funktion |
|---|---|
| ap | Accesspoint |
| bkp | Backup Server |
| db | Datenbank Server |
| dc | Domain Controller |
| ds | Deployment Server |
| fs | File Server |
| fw | Firewall |
| mos | Monitoring Server |
| nb | Notebook |
| pc | PC |
| prox | Proxmox VE Server |
| prts | Print Server |
| uc | Unifi Controller |
| sw | Switch |
Physikalische Standorte
Der physikalische Standort setzt sich zusammen aus dem Kürzel für den Standort sowie einer internen Raumangabe. Bei Geräten, welche in einem Rack stehen, werden anstelle der Raumangabe das Kürzel für das Rack angegeben.
Beispiele:
- zh-ruga
- zh-201
Kürzel für die Standorte
| Kürzel | Standortbezeichnung | Subnetz |
|---|---|---|
| be | Bern | 172.17.0.0/16 |
| fr | Fribourg | 172.18.0.0/16 |
| zg | Zug | 172.19.0.0/16 |
| zh | Dietikon | 172.16.0.0/16 |
| zh2 | Winterthur | 172.20.0.0/16 |
Kürzel für die internen Räume
| Zürich | |
|---|---|
| Kürzel | Ort |
| 200 | Raum 200 im 2. Stock |
| 201 | Raum 101 im 2. Stock |
Kürzel für Racks
| Zürich | |
|---|---|
| Kürzel | Racknummer |
| ruga | Rack A im Untergeschoss |
| rugb | Rack B im Untergeschoss |
| r02a | Rack A im 2. Stock |
| r02b | Rack B im 2. Stock |
| r03a | Rack A im 3. Stock |
| r03b | Rack B im 3. Stock |
| r03c | Rack C im 3. Stock |
| r03d | Rack D im 3. Stock |
| r04a | Rack A im 4. Stock |
AD-Struktur
Die AD-Struktur ist sehr einfach gehalten. Es gibt Container für die Benutzeraccounts, die Geräte sowie die Gruppen. Bei den Geräten werden Clients und Server unterschieden, bei den Gruppen lokale und globale Sicherheitsgruppen.
OU=OU-RAFISA,DC=rafisa,DC=org OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org OU=RAFISA-Accounts,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org OU=RAFISA-Computers,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org OU=RAFISA-Clients,OU=RAFISA-Computers,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org OU=RAFISA-Servers,OU=RAFISA-Computers,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org OU=RAFISA-Groups,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org OU=RAFISA-GlobalSecurityGroups-GS,OU=RAFISA-Groups,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org OU=RAFISA-LocalSecurityGroups-LS,OU=RAFISA-Groups,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=org
de/team/sabareeshan-nadeswaran/rafisa_firmenstandards_ipa.txt · Zuletzt geändert: 2023/03/09 15:25 von e.rueefli