Konzipierung, Aufbau und Anbindung des Netzwerkes für einen externen Firmenstandort

IPA 2021

12.05.2021 - 31.05.2021

Kandidat: Sabareeshan Nadeswaran

Teil 1 – Umfeld und Ablauf

Projektorganisation und Aufgabenstellung

Personen und Adressen

Detaillierte Aufgabestellung

Detaillierte Aufgabenstellung Titel der Arbeit

Konzipierung, Aufbau und Anbindung des Netzwerkes für einen externen Firmenstandort Ausgangslage

In der Rafisa Informatik GmbH werden zurzeit 50 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik zu InformatikerInnen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb bietet die Rafisa auch Eignungsabklärungen, Arbeitstrainings, Vorbereitungen für eine Informatik-Ausbildung sowie Bewerbungs- und Job-Coachings an.

Die Firma befindet sich in einer Wachstumsphase, neben dem Hauptort Dietikon kamen als Standorte Bern, Fribourg und Zug hinzu. Die Standorte sind bisher weitgehend autonom, alle verfügen über eine nach eigenen Vorgaben erstellte IT-Infrastruktur. Die Geschäftsleitung hat nun beschlossen, die Netzwerk-Infrastruktur zu vereinheitlichen. Der in Dietikon entwickelte Firmenstandard soll auf die anderen Standorte übertragen werden. Zudem sollen die Standorte über ein Site-to-Site-VPN angebunden werden. Am Beispiel der Rafisa Fribourg wird in dieser IPA die Anbindung vorbereitet.

Detaillierte Aufgabenstellung

In einer Testumgebung soll eine Lösung für die Netzwerk-Infrastruktur des Standortes Fribourg erarbeitet werden. In Vorarbeiten wurden die Bedürfnisse von Fribourg abgeklärt, sie liegen in einem SOLL-Netzplan vor. Firewall und Switches sind so zu konfigurieren, dass sie zum einen dem Firmenstandard genügen und zum anderen den SOLL-Vorgaben aus Fribourg genügen. Es ist zu Überprüfen, ob der Firmenstandard Dietikon einfach übernommen werden kann, oder wo allenfalls Anpassungen nötig sind. Des weiteren soll die Site-To-Site-Anbindung mit einer zweiten Firewall realisiert und getestet werden. Als weitere Aufgaben sind ein WLAN-Netzwerk einzurichten und eine Backuplösung zu realisieren.

Zur Verfügung stehende Hardware und Services

Hardware

1x Dedizierter Rack-Server

1x PC mit BackupPC (Vorarbeit)

2x Firewall pfSense auf APU-Hardware (Die FW-Zürich wird als Vorarbeit mit VLANs gemäss Firmenstandard aufgesetzt)

2x Managed Switch 24-Port 1x Managed Switch 48-Port 1x Managed Switch 8-Port

2x Arbeitsplatzrechner für Doku und Testing (Installation als Vorarbeit) 1x Unify-AP

Services

Proxmox-VE Virtualisierungsplattform (Installation als Vorarbeit) 2x VLAN für den Aufbau der Testumgebung

Folgende Unteraufgaben sind zu lösen (Verweise auf die individuellen Beurteilungskriterien sind mit den Kürzeln I1-I7 gekennzeichnet):

1. Erfassung IST-Zustand (I1)

Eine gute Planung setzt voraus, dass der Auftrag zunächst geklärt wird. Dazu sollen Informationen zu mindestens folgenden Bereichen eingeholt werden:

1. Erfassung der zur Verfügung gestellte Hardware (Server und PCs: Modellbezeichnung, CPUs, Memory, Festplatten, Netzwerk-Interfaces. Switch: Modellbezeichnung, Übertragungsrate, Anzahl Ports, Firmware-Version); Access-Point (Anzahl Ports, WLAN-Standards, Frequenzbänder, Verschlüsselungsmöglichkeiten), Firewall (Modellbezeichnung, CPUs, Memory, Festplatten, Netzwerk-Interfaces, Übertragungsrate)
2. Erfassung der zur Verfügung gestellte Services: Kurzbeschreibung Proxmox VE-Umgebung (Technologie, Features, Bedienung), Kurzbeschreibung Backup-Server als Vorarbeit (Technologie, Features, Bedienung)
3. Einbettung der IPA-Testumgebung in Layer 3-Netzplan des Rafisa-Netzwerkes (produktive Server, produktive VLANs, Firewall, keine Switches, keine Drucker, keine PCs) (I2)
4. Analyse und Darstellung des zugesendeten SOLL-Planes aus Fribourg
5. Beschreibung der Firmenstandards für das Namenskonzept (Information kann dem Rafisa-Wiki entnommen werden)
6. Beschreibung der Firmenstandards für Netzwerke der Rafisa (VLANs, Berechtigungsmatrix, kann dem Rafisa-Wiki entnommen werden)
7. Beschreibung Rafisa-Firewall (Technologie, Features, Bedienung)
8. Kurzbeschreibung Unify Controller (Technologie, Features, Bedienung)

Aufzeigen von Lösungsvarianten

Bei IT-Projekten gibt es oft verschiedene Lösungen zur Erreichung der Projektvorgaben. Zu folgenden Vorgaben sollen Lösungsvarianten gesucht werden:

1. Vergleich zwischen SOLL-Anforderungen Fribourg und Standardvorgaben Rafisa Dietikon: Unterschiede, Unvereinbarkeiten, Unklarheiten - Welche Umsetzungsvarianten gibt es (VLANs, Subnetze, Zugriffsmatrix VLANs, Link Aggregation (LACPs))
2. Einrichten der Firewall: Rules für die Zugriffsberechtigungen für die VLANs (Welche Kombinationen von Block, Deny und Allow sind sinnvoll)
3. Einrichten der Firewall: VPN-Tunnel zwischen den Standorten (Technologie, Konfigurationsmöglichkeiten)
4. Einrichten der WLAN-Netzwerke: Welche Varianten der Anmeldung und Zuordung in das vorgeschriebene VLAN gibt es
5. Backup und Restore: Welche Möglichkeiten der Sicherung der Konfigfiles der Switches und der Firewall gibt es
6. Backup und Restore: Rahmenbedingungen (Datenmenge, Transferzeiten, Aufbewahrungsfrist, Sicherungsperiodizitäten und applikatorische Vorgaben)

Entscheidung für Lösungsvariante (I3)

Nachdem Lösungsvarianten erarbeitet worden sind, müssen nun in untenstehenden Bereichen begründete Entscheidungen getroffen werden. Zudem soll ein SOLL-Netzplan der Testumgebung erstellt werden:

SOLL-Planung, welche auf begründeten Entscheidungen über die Lösungsvarianten beruht (s. Aufgabe 2)

SOLL-Netzplan der Testumgebung mit allen beteiligten Systemen (Server, Switches, Arbeitsplatzrechner, Firewalls, WLAN-AP)

Einrichten der Switches (I4)

Die Vorgaben für die Einrichtung der Switches sind:

1. Hostnames gemäss Firmenstandard oder begründeter Abweichung erstellt
2. Alle VLANs gemäss Firmenstandard oder begründeter Abweichung erstellt
3. Administrative Zugänge in Management-VLAN
4. LACPs gemäss Planung erstellt
5. Kontrolle zur Vermeidung von Loops eingerichtet
6. Zeitserver eingerichet
7. Vlans sind in Rafisa-Wiki dokumentiert

Einrichten der Firewall (I5)

Die Vorgaben für die Einrichtung der Firewall sind:

1. Basiseinrichtung: Hostname gemäss Firmenstandard erstellt, Admin-User eingerichtet, Zeitserver eingerichtet
2. Alle VLANs gemäss Firmenstandard oder begründeter Abweichung erstellt
3. Alle Rules gemäss Firmenstandard (Berechtiungsmatrix) oder begründeter Abweichung erstellt
4. OpenVPN Site-to-Site eingerichtet
5. VLANs sind in Rafisa-Wiki dokumentiert
6. Einrichten der Wireless-Netzwerke (I6)

Die Vorgaben für die Wireless-Lösung sind:

1. Ubuntu 20.04 LTS-VM auf Proxmox eingerichtet und dokumentiert (Hostname gemäss Firmenstandard ode begründeter Abweichung, Adressierung fix, selbst gewählt, VLAN gemäss Planung, Zeitserver eingerichtet)
2. Unify-Controller über Webinterface in Management-VLAN erreichbar
3. Anmeldung der WLAN-Clients mit sicherer Verschlüsselungsmethode
4. Automatische Zuordnung der Clients in unterschiedliche VLANs (Learners - automatisch in VLAN für Learners, Employees - automatisch in VLAN für Employees)

Backup und Restore (I7)

Als Vorarbeit wird ein PC mit der Backup-Lösung BackupPC eingerichtet. Mit Hilfe von BackupPC sollen die Konfigurationsdateien der Switches und der Firewall gesichert werden.

Dokumentationen

Layer3-Netzplan der Rafisa Netzplan der Testumgebung

Dokumentation der VLANs auf den Switches im Rafisa Wiki (Markdown-Quellcode im Anhang) Dokumentation der VLANs auf der Firewall im Rafisa Wiki (Markdown-Quellcode im Anhang)

Testing

Vorgaben für die Einrichtung der Switches sind erfüllt Vorgaben für die Einrichtung der Firewall sind erfüllt

Vorgaben für die Einrichtung des WLAN-Netzwerkes sind erfüllt Mittel und Methoden

Zyxel Switches pfSense Firewall Linux

BSD

Vorkenntnisse

Zyxel Switches pfSense Firewall Linux

OpenVPN Vorarbeiten

Installation Proxmox VE auf Server Installation der beiden Arbeitsplatz-PCs Kurzberschreibung BackupPC Konfiguration FW Zürich

Neue Lerninhalte

Backup von Config-Dateien realisieren Arbeiten in den letzten 6 Monaten

Mitarbeit im Network-Team Konfiguration von Switches und Firewalls

Installation und Konfiguration von Samba-Servern Konfiguration BackupPC

Durchführungsblock

Projektaufbauorganisation

Die Prüfungsexperten bilden zusammen mit dem Fachverantwortlichen der Ausbildung und dem Kunden den Auftraggeber. Zusammen sind sie für die Formulierung der Aufgabenstellung und Benotung der Projektarbeit zuständig.

Personen

Ausbildner: Rolf Ryser

Lernende: Sabareeshan Nadeswaran

Rollen

Projektleiter: Sabareeshan Nadeswaran Auftraggeber, Kunde: Egil Rüefli

Aufgaben

Der Projektleiter ist für die komplette Realisierung und Dokumentation der IPA zuständig Der Auftraggeber ist für die Formulierung des Auftrages zuständig.

Verantwortung

Die Realisierung der IPA liegt allein in der Verantwortung von Sabareeshan Nadeswaran.

Projektorganigramm

Abbildung 1: Projektorganigramm

Vorgehen

Projektmethode IPERKA

Dieses Projekt wird nach der Projektmethode IPERKA realisiert. Dabei repräsentiert jeder dieser Buchstaben einen Meilenstein. I steht für Informieren. Dort werden alle notwendigen Informationen zusammengetragen. P ist Planen. Dort werden Informationen ausgewertet und mögliche Lösungen vorgeschlagen für das Erreichen des Projektziels. Beim E, also dem Entscheiden werden von den Vergleichen, die sinnvollste Lösung gewählt. Am besten kann diese Lösung auch begründet werden. R steht für Realisieren. Dort werden die Lösungen in die Tat umgesetzt. Zur Realisation gehört auch das Dokumentieren der Umsetzung. Im Meilenstein K, welche für Kontrollieren steht, wird die Realisation getestet in verschiedenen Ebenen. Der letzte Meilenstein ist das Auswerten, daher der Buchstabe bei Iperka. Dort werden die Tests ausgewertet, aber auch das ganze Projekt reflektiert. [1]

Dokumentation

Die Arbeitsergebnisse und alle relevanten Dokumente werden in One Drive gespeichert. Die Ordner sind nach Arbeitstagen sortiert. Die Konfigurationsfiles der Switches und der Firewall werden am Ende des Tages in den entsprechenden Ordner abgelegt. Der Ubuntu Server wird auf einer externen Festplatte gesichert. Die Festplatte wird nach der Sicherung des jeweiligen Tages bei der VF abgelegt.

Backup der VM für den Unify Controller auf dem Proxmox-Server: externe Festplatte wird auf dem Proxmoxserver /usbmnt gemountet. In der Weboberfläche wird /usbmnt als Backuptorage hinzugefügt. Ab dem Tag der Realisierung wird das Backup manuell durchgeführt.

Zeitplan

Arbeitsprotokoll

Teil 2 – Projekt

Kurzfassung IPA-Bericht

Ausgangspunkt der vorliegenden Arbeit war ein SOLL-Plan des Netzwerkes für den Rafisa-Standort Fribourg. Dieser SOLL-Plan wurde zunächst analysiert, verfeinert und danach mit den Standardanforderungen für Netzwerk der Rafisa verglichen und wo nötig angepasst. Die vorgeschlagene Lösung für Fribourg umfasste die Einrichtung von Standard-VLANs auf drei Switches und auf der Firewall. Zusätzlich sollte ein WLAN-Netzwerk und eine Site-to-Site-VPN-Lösung eingerichtet werden. Für das Backup der Konfigurationsfiles der Netzwerkgeräte waren Scripts zu schreiben.

Die VLANs konnten alle entsprechend den Vorgaben eingerichtet werden. Mit Firewall-Rules wurden die Zugriffsrechte für die VLANs festgelegt. Das Site-to-Site VPN zwischen der Firewall Fribourg und der als Vorarbeit eingerichteten Firewall Zürich wurde mit dem pfSense-Modul OpenVPN realisiert. Auf dem WLAN-Controller wurden drei WLAN-Netzwerke mit separaten VLAN-Zugängen eingerichtet. Für das Backup wurden zwei Bash-Prebackup-Scripts geschrieben, die danach in die installierte Backup-Lösung BackupPC eingebunden wurden.

Als Abschluss wurde die gesamte Lösung getestet. Die Tests verliefen bis auf einen alle wie erwartet. Beim Testen der Zugriffsmatrix für die VLANs zeigte sich, dass auf der Firewall eine Allow-Rule vergessen worden war. Nach dem Anlegen dieser Rule konnte auch der letzte Test erfolgreich abgeschlossen werden.

Informieren

Erfassung der zur Verfügung gestellten Hardware

Hardware Server und PCs

Die Hardwareinformationen wurden mit dmidecode, lspci und fdisk gefunden. In Windows wurden die HW-Informationen mit Hilfe der Systeminformation gelesen.

Tabelle 1: Hardware Server und PCs

Hardware Switches

Tabelle 2: Hardware Switches

Bei den Switches handelt sich um fully-managebare Zyxel-Switches. Sie sind sowohl über CLI als auch über ein Webinterface managebar. Zusätzlich zu den geforderten Informationen findet sich in der Spalte Firmware die aktuelle Firmwareversion der Switches. Die Informationen zu den Switches wurden auf Internetseiten gefunden [2] [3]

Hardware Access Point

Die Informationen zur Hardware von dem Access-Point wurden auf Internetseiten gefunden. [4]

Tabelle 3: Hardware Access Point

Hardware Firewall

Die Informationen zu den HW-Spezifikationen der Firewall wurden im Internet gefunden [5] [6]

Tabelle 4: Hardware Firewall

Erfassung der zur Verfügung gestellten Services

Die Virtualisierungsplattform Proxmox VE

Proxmox VE ist eine Virtualisierungsplattform, welche auf Debian basiert. Die Software ist ein Open- Source Produkt. Die Virtualisierung kann auf zwei Technologien umgesetzt werden. Zu einem sind das KVM und zum anderen LXC. Proxmox lässt sich via Webinterface verwalten. Eines der Vorteile von Proxmox ist die Live Migration. Somit ist es möglich bei Proxmox während der Produktion die VM von einer Platte zur anderen Platte zu migrieren. Ein weiterer Pluspunkt ist die Backupfunktion beim Proxmox. Es ist möglich diverse Speichermediums als Storage einzubinden. [7]

Der Backup-Server BackupPC

In der Rafisa kommt die Backuplösung BackupPC zum Einsatz. Dabei handelt es sich um eine freie Disk-zu-Disk Backup-Suite. Als Übertragungsarten stehen smb für das Backup von Windows-Shares, sowie für die Sicherung der Daten das rsync-Protokoll. Zusätzlich lassen sich die Funktionalitäten mit Pre- und Post-Backupscripts ausführen. Zu den Main Features gehören

• Webbasiertes Administrationsinterface: Konfiguration von Backups, Analyse der Logfiles, manuelles Starten und Stoppen von Backups, Browse und Restore von Backupdaten
• Datendeduplikation: Identische Files von mehreren Backups des selben Clients oder von verschiedenen Clients werden nur einmal gespeichert. Das erlaubt Einsparungen im Bereich der benötigten Kapazitäten sowie des Disk I/Os.
• Kompression: Da nur neue Files komprimiert werden müssen, werden die CPUs weniger beansprucht
• Open-Source: BackupPC wird auf Github gehostet und unter einer GPL-Lizenz verteilt
• Es wird keine clientseitige Software benötigt

Auf Anfrage wurde vom Team SRB ein BackupPCServer zur Verfügung gestellt und mit der Basisinstallation BackupPC. Gemäss der SLA#001 Backup und Restore v.01 [8] ist ersichtlich, dass folgende Backuparten zur Verfügung stehen:

• Backup von SMB-Shares
• File-Backup von Serversystemen
• Image Backup von Proxmox-VMs
• Backup von Datenbank-Systemen
• Backup der Konfigurationsdateien von Switches und Firewalls (im Aufbau)

In der Planung müssen folgende Punkte berücksichtigt werden: Festlegen von Datenmenge, Transferzeiten, Aufbewahrungsfrist, Sicherungsperiodizitäten

Beschreibung der aufzusetzenden Services

pfSense Firewall

pfSense ist eine auf dem Betriebssystem FreeBSD basierende Firewall-Distribution. pfSense lässt sich komplett über ein Webinterface verwalten. Zusätzlich ist der Zugriff über SSH oder über einen seriellen Port möglich. Die eingesetzten Kerntechnologien sind OpenSSL, PHP und Python. Über ein Paketsystem lassen sich die Funktionen der Firewall stark erweitern.

Folgende Mainfeatures sind vorhanden:

• VPN Server
• High Availability
• VPN Server
• High Availability
• Load Balancing
• Traffic Shaping
• Captive Portal
• UTM Device
• Firewall / Router
• DNS / DHCP Server
• IDS / IPS
• Transparent Caching Proxy
• Web Content Filter

In der Planung soll eine Lösung für die Konfiguration des Rules und die Möglichkeiten zur Realisierung der VPN-Site-to-Site-Anbindung erarbeitet werden.

Ubiquiti UnfFi Controller

Der UniFi Network Controller ist eine Java-Software, welche erlaubt, die Unifi Geräte über ein Webinterface zu verwalten. Der Controller kann auf dem Unifi Cloud Key gehostet oder auch als Server in Linux, Windows, macOS eingerichtet werden. [9]

Es handelt sich um einen passiven Controller: Die Access-Points werden durch den Controller konfiguriert, danach laufen sie selbständig. Der Controller kann auch abgeschaltet werden, ausser man nutzt die Guest-Portal-Funktion.

Der Vorteil eines passiven Controllers besteht darin, dass die AP's weiterlaufen, selbst wenn der Controller ausgeschaltet wird (kein Single Point of Failure). Als Nachteil kann erwähnt werden, dass

z.B. Informationen über die Funkeigenschaften der Accesspoints und der verbundenen Clients nicht zur Steuerung genutzt werden können. So sucht der AP beim Start z.B. einen geeigneten Funkkanal und bleibt auf diesem. So ist keine Optimierung durch den Controller möglich.

Hauptfeatures des Controllers sind:

• Integration von Grundrissen für das Monitoring der Wireless-Abdeckung
• Detailliertes Reporting und Statistiken
• Wireless-Uplink: Ein mit Kabel angeschlossener AP erlaubt Wireless-Uplinks auf bis zu 4 Geräte.
• Guest-Portal-Support: Mit Voucher-Management
• Multi-Site-Management: Verwalten mehrerer Sites mit nur einem Controller
• Verwalten von WLAN-Gruppen

Firmenstandards für die VLANs und für das Namenskonzept der Rafisa Dietikon

In diesem Kapitel werden die firmenspezifischen Vorgaben über das Netzwerkkonzept und Namenskonzept der Firma beschrieben. Diese Vorgaben sind ebenfalls im Anhang enthalten.

Subnetz-Konzept

Alle Standorte erhalten ein /24 Netz aus dem grösseren privaten Netz 172.16/12, dh. 172.16.0.0/16 bis 172.31.0.0/16. Die VLANs werden dann in die jeweiligen /24-Subnetze unterteilt, also z.B.

172.16.1.0/24, 172.16.2.0/24 usw.

VLANs der Rafisa Dietikon

7.4.2.1 zh.rafisa.org - 172.16.0.0/12

In der Tabelle oben sind alle VLAN’s aufgelistet, welche das Netzwerk-Team immer auf der FW und auf den Switches standardmässig konfiguriert. Der Interface-Name bildet sich aus dem VLAN Namen und dem Kürzel. Im VLAN01_MGMT sind die Switches oder die FW selber enthalten. Auch der unifiController und der Backup-Server sind dort inbegriffen. Wie der Name schon sagt ist im VLAN Server alle virtuellen Server enthalten. VLAN Clients ist selbsterklärend. Alle Drucker sind im VLAN40_LP vorhanden. Alle Labors sind im VLAN Labor. Es werden alle Geräte ausser welche im VLAN Clients und VLAN Labor sind, mit einer statischen IPv4 Adresse vergeben. Der Rest erhält seine Netzwerkkonfigurationen via DHCP-Server von der FW. Dieser Firmenstandard ist vom September 2020. Auf diesem baut sich meine IPA auf, selbst wenn sich die Norm sich laufend ändert.

Berechtigungsmatrix

Die Matrix wird Zeile nach Spalte gelesen (Zugriff von Zeile nach Spalte erlaubt/nicht erlaubt)

Das VLAN01_MGMT hat überall Zugriff. VLAN10_SRVAUTH darf nach draussen und zu den VPN- Server der externen Standorte. Die Ausbildner haben Zugang zu allen anderen VLANs ausser VLAN01_MGMT. Die Lernende haben Zugang nach draussen, in VLAN10_SRVAUTH, VLAN15_SRVLEARN und dem VLAN40_LP.

IP-Zuteilung der Geräte der Rafisa Standort Dietikon

Die folgende Tabelle zeigt die IP-Zuteilung der Geräte am Standort Dietikon. Sie dient als Ausgangspunkt für das Erstellen des L3-Plans im Kapitel 7.6.

Rafisa Namenskonzept

1. Benutzer

Benutzernamen setzen sich zusammen aus dem ersten Buchstaben des Vornamens plus dem Nachnamen. Sollten sich bei neuen Nutzern gleichlautende Benutzernamen ergeben, wird die Anzahl Buchstaben des Vornamenkürzels um 1 erhöht. Bei identischen Vor- und Nachnamen wird das Benutzerkürzel um eine fortlaufende Nummer, beginnend bei 01 ergänzt.

Beispiele:

• h.muster - Hans Muster
• he.muster - Hedwig Muster
• her.muster - Herta Muster
• h.muster01 - Hans Muster

Geräte

Der Gerätename setzt sich zusammen aus einem Kürzel für die Funktion, dem Kürzel für den physikalischen Standort sowie einer fortlaufenden Nummer, beginnend bei 01.

Beispiele:

• dc-zh-ruga-01
• sw-zh-r02a-03

Kürzel für die Funktionsbezeichnungen

Physikalische Standorte

Der physikalische Standort setzt sich zusammen aus dem Kürzel für den Standort sowie einer internen Raumangabe. Bei Geräten, welche in einem Rack stehen, werden anstelle der Raumangabe das Kürzel für das Rack angegeben.

Beispiele:

• zh-ruga
• zh-201

Kürzel für die Standorte

Kürzel für die internen Räume

Kürzel für Racks

Darstellung und Analyse des zugesendeten Planes aus Fribourg

Der Plan ist vom Standortleiter in Fribourg gesendet wurden. Die Realisierung findet in den Betriebsferien im Sommer 2021 statt.

Analyse IST-Zustand

Abbildung 2:IST-Zustand Fribourg

Das Netzwerk in Fribourg besteht zurzeit aus den zwei 24-Port Switches sw-fr-s00-10 und sw-fr-s00- 12, die über je 2×2 LACP-Trunks miteinander verbunden sind. sw-fr-s00-10 befindet sich im Main- Rack, sw-fr-s00-12 im Server-Rack. Am Switch sw-fr-s00-12 sind über je 2×4 im Teaming-Modus LACP gekoppelten Trunks zwei Server angeschlossen. Im Soll-Zustand werden alle VLANs beim Teaming- Trunk aufgeschaltet. Beide Server verfügen zudem über ein iLO-Management-System, die über einen separaten Netzwerkadapter an den Server-Switch angeschlossen sind.

In der Legende wird der Netzplan als Physical Transition-Plan bezeichnet. Die beiden Switches sollen im Endzustand durch zwei neue Switches ersetzt werden. In einem ersten Schritt sollen die alten Switches mit allen verbundenen Geräten ans VLAN22_CLLEARN der neuen Switches angeschlossen werden. Zusätzlich soll ein neuer Switch den Workshop-Room erschliessen, wodurch eine sternförmige, vom Main-Switch ausgehende Topologie entsteht.

Nicht auf dem Plan ersichtlich sind das bestehende Subnetz, die Netzwerkdienste DHCP und DNS sowie der Gateway. Auf Nachfrage teilte der SF die folgenden Netzwerkinformationen mit:

Subnetz: 172.21.22.0/24

Gateway: 172.21.22.1 (Swisscom Router Centro Business) DHCP: 172.21.22.10 (srv-fr-s00-01)

DNS: 172.21.22.10 (srv-fr-s00-01)

Portbelegung Switch sw-fr-s00-10

Bei den nicht angegebenen Ports in untenstehender Tabelle handelt es sich um ungetaggte Standardports.

Portbelegung Switch sw-fr-s00-12

Bei den nicht genauer spezifizierten Ports handelt es sich um ungetaggte Standardports.

L3-Plan IST-Zustand der Testumgebung

Als Gateway haben die Geräte das Firewall VLAN-Interface des entsprechenden Subnetzes, für das VLAN01-MGMT also z.B. 172.16.1.1/24. Der Gateway für die IPA-Testumgebung ist demnach 172.16.54.1/24 und 172.16.55.1/24. Der bereits dargestellten Berechtigungsmatrix kann man entnehmen, dass die Zugänge zu allen anderen VLAN's der Rafisa durch Filterrules auf der Firewall geblockt werden. Die Firewall stellt ausser dem Gateway für den Internetzugang einen DHCP-Dienst zur Verfügung, über welchen IP-Adressen aus dem entsprechenden Subnetz, die Gateway-IP sowie die IP-Adressen der DNS-Server verteilt werden. Alle im L3-Diagramm festgehaltenen System verfügen über statische IP-Adressen und sind einem Services Team zugewiesen. Der Owner ist der zuständige Teamleiter. Die erfassten Geräte findet man im Kapitel «IP-Zuteilung der Geräte der Rafisa Standort Dietikon». Die Domain für Dietikon ist «zh.rafisa.org». Der FQDN der Firewall wäre also «fw-zh-ruga-01.zh.rafisa.org».

Die untenstehende Tabelle zeigt die Geräte und Funktionen der Geräte.

Planen

Planen der VLANs

Namenkonzept

In der linken Spalte finden sich die aktuellen Namenskonzeptionen von Fribourg. Die Racks sind noch nicht benannt, als Standortkürzel haben sie S00. Es wird vorgeschlagen, der Namenskonvention von Zürich zu folgen und die Racks mit s01 – s03 zu bezeichnen.

Wahl des Subnetzes

In Fribourg wird aktuell noch im Subnetz 172.21.22.0/24 gearbeitet. Damit sich Fribourg die Vorgaben erfüllen, welche die Norm vorgibt, muss sich das Subnetz zwischen 172.21.0.0/16 und 172.31.0.0/16 befinden.

Mögliche Soll-Zustände des VLAN-Konzepts

Gemäss SF sollen mindestens fünf VLANs vorhanden sein. In der rechten Spalte sind die Vorgaben ersichtlich gemäss Firmenstandard.

LACP

Es werden zu den drei Switches Varianten aufgelistet

sw-fr-s00-01

Beim Switch sw-fr-s00-01 gibt es keine Varianten. Die LACPs können so realisiert werden.

sw-fr-s00-02

Beim Switch sw-fr-s00-02 wurden im von Fribourg angegebenen SOLL-Zustande die LACPs für die Windows-Teamings vergessen. Variante 1 zeigt den Vorschlag von Fribourg, Variante 2 zeigt die ergänzte Variante.

Variante 1

Variante 2 (vorgeschlagen)

sw-fr-s00-03

Beim Switch sw-fr-s00-03 gibt es keine Varianten. Die LACPs können so realisiert werden.

Planen der FW

Site to Site VPN

Da in der Rafisa für den Remote-Access bereits OpenVPN verwendet wird, wurde mit dem VF beschlossen, auch für die Site-to-Site-VPNs OpenVPN einzusetzen. OpenVPN ist eine freie Software zum Aufbau eines Virtuellen Privaten Netzwerkes (VPN) über eine verschlüsselte TLS- Verbindung. Zur Verschlüsselung kann OpenSSL oder TLS benutzt werden. OpenVPN verwendet wahlweise UDP oder TCP zum Transport.

Es gibt zwei Arten von Schlüsseln, die für einen VPN-Tunnel mit OpenVPN eingesetzt werden können: PSK und Zertifikate.

Um zu entscheiden, welche Schlüssel verwendet werden sollen, werden die Varianten bezüglich 4 Kriterien verglichen:

1. Einfachheit der Konfiguration
2. Schlüsselsicherheit
3. Administrierbarkeit
4. Portsicherheit

Die Kriterien wurden von mir auch einer Gewichtung von 1 (unwichtig) bis 5 (sehr wichtig) unterzogen. Diese wurde dem VF vorgelegt und sein Einverständnis eingeholt.

Rules Berechtigungsmatrix

Im folgenden Abschnitt werden zwei Varianten verglichen. Die Variante 1 zeigt eine Umsetzung ohne Aliase. Die Variante 2 zeigt eine Umsetzung mit Aliasen. Die Umsetzung wird bei beiden Varianten an das VLAN21_CLLEARN angewendet.

Variante 1

Bei dieser Umsetzung werden die Rules einzeln erstellt für jedes VLAN. Es sind fünf Allow Rules zu setzen und 8 Block Rules zusetzen. Die letzte Rule erlaubt den Zugang ins Web.

Variante 2

Bei dieser Umsetzung wird man Aliasen gearbeitet. Oberhalb der Aliase wird der Zugang zu den entsprechenden VLANs gewährt. Bei der Regel mit den Aliasen erlauben wir dem VLAN22 keinen Zugang zu allen VLANs ausser dem Web. Anstatt 13 Regeln werden nur 5 benötigt.

Planen WLAN-Einrichtung

WPA-Enterprise

Eine Umsetzung WPA-Enterprise hat viele Vorteile:

• Es gibt keine geteilten Passwörter. Es muss also nicht immer das Passwort geändert werden, wenn im Unternehmen eine Änderung am WLAN notwendig ist.
• Eine Anbindung an eine AD über Radius ist möglich. Die Zuordnung von VLAN findet dynamisch statt. Zur Folge hat dies, dass nur 2 WLAN Netzwerke benötigt werden. Ein WLAN wird firmenintern verwendet und die Authentifizierung wird mit Zertifikaten und Radius

realisiert. Das zweite WLAN wird mit Passwort für Gäste realisiert. Bei dieser Umsetzung sind also technische Anforderungen vorgegeben.

WPA2-Personal

Wenn das WLAN mit dieser Technologie realisiert wird, sind drei WLAN-Netzwerke mit statischer VLAN Zuordnung notwendig. Die Authentifizierung wird mit PSK durchgeführt.

Planen Backup & Restore

Die Aufgabe besteht darin, die Configs via BackupPC im PULL-Verfahren automatisch zu sichern. Es gibt 2 Möglichkeiten der Realisierung. Über ein Prebackup-Script können die Config-Files per FTP oder per SSH auf den BackupPC kopiert und dann in den BackupPC-Pool gesichert werden. Folgende Tabelle zeigen die Vor- und Nachteile der beiden Lösungen:

Bei der Firewall ist der Zugang nur über SSH möglich. Das Konfig-File ist auf der pfSense in der Datei

/conf/config.xml gespeichert. Im Prebackup-Script kann die Konfig-Datei zunächst mit scp auf den BackupPC kopiert und dann von dort in den Backup-Pool gesichert werden.

Entscheiden

Namenskonzept Racks und Netzwerkkomponente

Aktuell hält sich die Namenskonventionen sich an die Firmenstandards. Aber die Racks sind nicht vorhanden bzw. nicht nummeriert. Da ist auch ersichtlich an den Vorschlag von SF, welche für die neuen Switches die Namen sw-fr-s00-01, sw-fr-s00-02, sw-fr-s00-03 vorschlägt. Möchte man sich an

die Firmennorm halten, so werden die Racks nummeriert. Dann ergibt sich folgende Hostnamen oder Gerätebezeichnung

IP Zuteilungen der Geräte

VLAN-Konzept Fribourg

In Fribourg wird aktuell mit folgendem Subnetz gearbeitet: 172.21.22.0/24. Dank diesem Subnetz ist eine vereinfachte Anbindung bzw. Konzepterarbeitung möglich, da es dem Firmenstandard entgegenkommt.

Zu realisierende LACPs

Die beiden vergessenen LACP-Trunks für das Teaming werden nach Rücksprache mit dem Stellenleiter Fribourg wie folgt realisiert:

Zu realisierende WLAN-Ports

Für die WLAN-Anmeldung wird WPA Personal gewählt. WLAN-Enterprise wäre zwar wegen der vielen Vorteile zu bevorzugen. Da Fribourg aktuell über keinen AD verfügt, wird in dieser IPA die Lösung über das Shared Key-Verfahren realisiert. Die Sicherheit kann mit einem Radius Profil erweitert werden und somit Authentifizierung mit Zertifikaten ermöglichen. Es werden also drei WLAN- Netzwerke realisiert:

Folgende Ports sind für die WLANs zu realisieren:

Portbelegung sw-fr-s01-01

Für den Switch sw-fr-s01-01 ergibt sich unter Berücksichtigung aller Entscheidungen folgende Portbelegung:

Portbelegung sw-fr-s02-01

Für den Switch sw-fr-s02-01 ergibt sich unter Berücksichtigung aller Entscheidungen folgende Portbelegung:

Portbelegung sw-fr-s03-01

Für den Switch sw-fr-s03-01 ergibt sich unter Berücksichtigung aller Entscheidungen folgende Portbelegung:

Site to Site VPN

Das Site to Site VPN wird mit OpenVPN realisiert. Mit der untenstehenden Entscheidungsmatrix wurden die zwei möglichen Verschlüsselungsverfahren gemäss den in der Planung festgelegten Kriterien verglichen.

Einfachere Konfiguration: Bei PSK ist die Konfiguration für die Bereitstellung der Site to Site VPN viel einfacher und somit weniger zeitaufwändig.

Sicherer Publik Key: Beide Technologien benötigen einen Public Key für die Verschlüsselung. Während dieser Key beim PSK unsicher ist, ist er bei der CA um einiges sicher, da er um einiges längerer ist.

Bessere Erweiterung: Während im PSK auf allen Systemen (VPN Server /VPN Client) bei einer Änderung des Systems, die Keys angepasst werden müssen, ist die Änderung nur auf dem OpenVPN- Server anzupassen.

Bessere Netzwerksicherheit: Während beim PSK für jeden Standort bei Anbindung ein zusätzlicher Port beim zentralen Server offen ist, benötigt man bei der Zertifikatstechnologie nur einen Port.

VLAN-Berechtigungsmatrix

Die Berechtigungsmatrix wurde vollständig übernommen gemäss Firmenstandard übernommen.

Backup und Restore

Backupvariante für Switches und Firewall

Für die Switches wird das FTP-Backup gewählt. Das Backup-File kann mit einem bewährten, stabilen Verfahren gesichert werden. Es werden zudem keine zusätzlichen Switch-Befehle oder aufwändige Umleitungen der Ausgabe auf dem Switch in ein lokales File benötigt. Der Nachteil des unverschlüsselten Transfers der Dateien ist nicht gravierend, da sich die FTP-Zugänge aller Switches im gut gesicherten Management-VLAN befinden. Das Copy via FTP wird mit Hilfe eines Prebackup- Scripts realisiert, das in ein lokales Verzeichnis auf dem BackupPC kopiert wird. Danach wird es mit dem BackupPC-Rsync in ein BackupPC-Archiv abgelegt.

Für die Firewall wird mit einem Prebackup-Script das Backup-File über scp in ein lokales Verzeichnis kopiert und danach ebenfalls mit BackupPC-Rsync in ein BackupPC-Archiv verschoben.

Rahmenbedingungen Backup und Restore

Erstellen der Arbeitspakete

Meilensteine

Für die Meilensteine werden die fünf Phasen von IPERKA gewählt.

Standort Zürich

Standort Fribourg

Realisieren

Einrichten der Switches

Die Einrichtung eines VLAN-Interface wird bei der Realisierung für den Switch sw-fr-s03-01 als Vorzeigebeispiel verwendet. Daher wird der nb-zh-308-01 an Port 5 angeschlossen. Die Default IP des Switches ist 192.168.1.1, daher wird die IPv4 -Adresse statisch gesetzt welche im Range von 192.168.1.2 bis 192.168.1.254 befinden sollte. Zyxel verwendet folgende Default Logindaten:

Basiseinrichtung

Zur Basiseinrichtung gehören folgende Konfigurationen:

• Ändern des Hostnamen
• Zeitserver einrichten
• Administrativer Zugang einrichten

Auf der Registerkarte General Setup der Switches wird zunächst der Hostname festgelegt. Danach wird als Zeitserver die IP der Firewall angegeben.

Der Administrative Zugang stellt den Switch ins VLAN01_MGMT, mit der man auch die Switch via Web-Interface verwalten kann. Dies kann unter IP-Setup eingestellt werden

Abbildung 3: Administrativer Zugang für Switches

Erstellen eines neuen VLAN-Interfaces oder schon vorhandenem VLAN-Interface VLAN ID 1 ist standartmässig immer vorhanden. Daher muss dieses VLAN nicht neu erstellt werden, sondern nur angepasst werden. Unter VLAN bei Advanced Application sind zwei Konfigurationen notwendig. Unter Static VLAN werden die Interfaces erstellt und gleichzeitig können untaggede oder Taggede Portzuweisungen zu den VLANs konfiguriert werden. Unter VLAN-Port-Setup werden die Ports welche Untagged sind, werden mit den entsprechenden VID also PVID bestätigt. Folgende Konfigurationen werden bei Static VLAN für das Anpassen oder Erstellen eines VLAN-Interfaces vorgenommen.

Auch ist eine Übersicht von allen VLANs vorhanden.

Abbildung 4: Übersicht aller VLANs

Bei VLAN Port Setting ist nur entscheidet das nur die PVID mit übereinstimmt dem VLAN-Tag, wenn der Port fixed und keine Tx-Tagging gesetzt bekommen bei den VLAN-Interfaces bzw. deren Portzuweisungen.

Abbildung 5: Ausschnitt der VLAN Port Setting für die Ports 18 bis 21 bei sw-fr-s03

Konfiguration von LAG

Die Vorgehensweise für die Konfiguration eines LAG wird am sw-fr-s02 erläutert. Gemäss Kapitel 9.1.7 werden die Ports 1 bis 4 zu dem LACP Trunk(T1) gebildet. Die nachfolgenden Konfigurationen müssen bei beiden Hosts, welche mit einem LAG verbunden werden,identisch sein.

Abbildung 6:Konfiguration LACP-T1 beim sw-fr-s02-01

Unter Link Aggregation Setting wird in der oberen Hälfte der LACP Trunk eingerichtet. Group ID «T1»wird aktiviert. Criteria wird die Option auf «dst-mac» gesetzt. In der unteren Hälfte werden die Ports den jeweiligen LACP-Trunk zugeordnet. Nun muss noch das LACP-Protokoll aktiviert werden. Dabei ist so dass bei Zyxel der LACP allgemein und für den LACP-Trunk aktiv sein. Dafür muss man bei LAGLACP folgende Einstellung vornehmen:

Abbildung 7: Aktivieren des LACP-Protokolls auf sw-fr-s02-01

Die letzte Einstellung die für LAG relevant ist, ist das Deaktivieren des LoopGuard auf den LACP-Trunk Ports. Für das Aktivieren/Deaktivieren eines LoopGuard wird unter der gleichnamigen Konfigurationsseite bei Advanced Application der LoopGuard aktiviert oder deaktiviert.

Abbildung 8: LoopGuard-Einstellung für sw-fr-s02-01

1. Konfiguration im CLI

Für den Switch sw-fr-s01-01 wird die LAG-Konfiguration und das Setzen der Management-IP im CLI vorgenommen, da es im Web-Interface die LAG Einrichtung nicht vollständig umgesetzt werden kann. Dafür wird mit Putty ein SSH-Verbindung zu sw-fr-s01-01 aufgebaut.

• Configure ausführen: Damit wechselt man in den Konfigurationsmodus.
• Mit VLAN 01: wechselt man zum VLAN01_MGMT Interface
• Ip address 172.21.1.4 255.255.255.0 manageable: Dadurch wird die Management-IP festgelegt und kann via Web-GUI erreicht werden.
• Nun wird wieder in den Config-Mode gewechselt, damit die Einstellungen gespeichert werden. Mit Write Memory werden die Änderungen übernommen.
• Folgender Befehle werden noch ausgeführt: Trunk T1 <cr dst-mac

Trunk T2 <cr dst-mac

• Zum Schluss muss nochmals Write Memory ausgeführt werden.

Einrichten von fw-fr-s01-01

In diesem Kapitel sind Vorgehensweisen zu folgenden Konfigurationen, welche in Kapitel 9.4.2 aufgelistet sind, beschrieben. Pfsense hat dieselbe Default IP wie Zyxel bei seinen Switches. somit ist der Vorgang für den Zugriff aufs Websinterface gleich. Nur das Passwort ist anders als bei Zyxel.

Basiseinrichtung

Bei General Setup unter System, lässt sich der Hostname und die lokale Domäne eintragen

Abbildung 9:Basiseinrichtung 1

Unter Localization lässt sich die Zeitzone, Zeitserver und die Sprache einstellen.

Abbildung 10:Basiseinrichtung 2

Ein Admin-User ist standardmässig schon bei Pfsense eingerichtet. Nun wird noch sein Passwort geändert um nicht die Login Daten der Pfsense zu verwenden. Das neue Passwort wird auf der Seite System/User Manager/ admin angepasst.

Um ein VLAN-Interface zu hinzufügen, navigiert man zu InterfacesVLAN. Nun werden für das VLAN01_MGMT die Konfigurationen wie folgt eingetragen:

Abbildung 11: Basiseinrichtung 3 VLAN-Interface

In der Rafisa wird das Parent Interface für die VLANs stets igb1 ausgewählt. Ansonsten kann man sich auch an die Beschriftung orientieren. VLAN Tag muss identisch sein mit dem VLAN Tag welche für das Erstellen des gleichnamigen VLAN-Interface auf den Switches verwendet wurden. Description ist nur eine Hilfestellung für die Mitglieder des Networks- Team. Zum Schluss wird dieses VLAN noch zu den

Interfaces permanent zugewiesen.

Abbildung 12: Basiseinrichtung 4 VLAN-Interface 2

Aktuell ist dieses Interfaces noch Opt1 benannt, dieses wird noch zum VLAN-Interfacenamen umbenannt. Zeitgleich kann der GW vom VLAN statisch gesetzt werden, da die Konfigurationen auf derselben Seite vorgenommen werden.Die Konfiguration zum Einrichten des GW vom VLAN01_MGMT ist im Abbild 13 Basiseinrichtung 6 VLAN-Interface 4 ersichtlich.

Abbildung 13:Basiseinrichtung 5 VLAN-Interface 3

Der Upstream-GW ist die Verbindung zwischen dem GW des Interfaces und dem GW der WAN Seite. Ich benötige aber diese Option in meiner Arbeit nur sobald ich für Site to Site VPN die WAN-Adresse statisch setzte. In der Testumgebung werden die Optionen in Reserved Networks deaktiviert. In der produktiven Umgebung muss dann aber die Option aktiviert sein.

Abbildung 14:Basiseinrichtung 6 VLAN-Interface 4

Jetzt wird noch erläutert wie man einen DHCP-Server für ein VLAN-Interface einrichtet. Um einen DHCP-Server einzurichten, navigiert man zu Services/DHCP Services/ und wählt dann das entsprechende VLAN-Interface aus. Sobald man das Häkchen auf Enable setzt, wird dieser aktiviert. Nun muss noch der Range für das Verteilen der IPv4 Adresse angegeben werden.

Abbildung 15: Basiseinrichtung 7 DHCP-Server

Wenn alle VLANs vollständig eingerichtet wurden, kann man mit dem Erstellen eines Aliasen fortfahren. In Pfsense konfiguriert man Aliase im Bereich Firewall. Bei den Eingaben sind die nachfolgenden Optionen vorzunehmen.

Tabelle 5:Eingabemaske Aliase

Vorbereitungen für Site to Site OpenVPN

Bevor mit der VPN Konfiguration auf der Server Side also Standort Dietikon begonnen werden. wird eine statische IPv4 auf dem WAN-Interface und der Upstream-GW benötigt, das gleiche gilt auch für den Standort in Dietikon.

Einrichten auf der OpenVPN-Server-Side

Bevor die Vorgehensweise zu den Rules erläutert wird, wird das Site to Site VPN mit OpenVPN beschrieben. Dafür werden die nachfolgenden Konfigurationen zum VPN-Server und den Zertifikaten in fw-zh-308-01 vorgenommen. Beim Arbeiten mit Zertifikaten werden die Konfigurationen in pfsense in «Certificate Manger» und beim Arbeiten mit VPN wird diese in OpenVPN eingestellt.

Zertifizierungsstelle einrichten

Zuerst wie die Zertifizierungsstelle CA-RAFISA-ZH eingerichtet. Das kann unter System/Certificate Manager/CAs erstellt werden. Folgende Optionen müssen wie folgt eingeben werden:

Tabelle 6:Eingaben CA-RAFISA-ZH Abbild 1

Zusatzinformationen für Interne Zwecke

Tabelle 7:Eingaben CA-RAFISA-ZH Abbild 2

Jetzt kann je ein Server-Zertifikat und je ein Client-Zertifikat erstellt. Beide Zertifikate werden von CA- RAFISA-ZH ausgestellt und werden für die Authentifizierung zwischen den Systemen fw-fr-s01-01 und fw-zh-308-01 benötigt.

Server Zertifikat fw-zh-308-01 erstellen

Die Eingaben werden wie folgt ausgeführt:

Tabelle 8: Eingaben Server-Zertifikat fw-zh-308-01

Benutzer-Zertifikat fr.rafisa.org erstellen

Tabelle 9:Eingaben User-Zertifikat fr.rafisa.org

Somit sind alle notwendigen Zertifikate erstellt und sollten mitsamt Informationen über die Konfigurationen auf der Übersicht erscheinen.

Abbildung 16: Übersicht der Zertifikate

Erstellen des OpenVPN-Servers

Folgende Eingabeoptionen werden wie folgt getätigt.

Somit ist der OpenVPN Server eingerichtet konfiguriert. Später wird der Server aber noch benötigt damit der TLS Key kopiert und für den Export vorbereitet werden kann. Jetzt können Rules eingerichtet werden.

Mit dieser Regel wird auf der WAN Seite der Port 1194 OpenVPN geöffnet und erlauben das der Datenverkehr von WAN auf 1194 Port gelangen kann. Auf dem OpenVPN Interface wird auch noch eine Rule eingestellt. welche die Erlaubnis hat den Verkehr von VLAN10_SRVAUTH in Fribourg nach Zürich durchzulassen.

Abbildung 17:Rule auf dem WAN-Interface any-OpenVPN

Abbildung 18: Rule auf dem OpenVPN-Interface VLAN10_SRVAUTH_FR - VLAN10_SRVAUTH

Einrichten von Client Specific Overrides

Das ist notwendig um den Verkehr zwischen den beiden Standorten einzugrenzen

Nun werden drei Komponenten für die Konfiguration auf der Client-Side vom OpenVPN exportiert, siehe Abbildungen unten.

• TLS Key vom OpenVPN Server

• Zertifikat von der Zertifizierungsstelle CA-RAFISA-ZH

• Zertifikat und Privat Key vom Benutzer-Zertifikat fr.rafisa.org

Einrichten auf der OpenVPN Client-Side

Nun werden im Certificate Manager die exportierten Daten importiert. Am besten öffnet man mit dem Editor alle Daten um dann später die einzelnen Daten einzufügen. Nun wird der Client eingerichtet.

Zum Schluss müssen noch Rules auf dem OpenVPN-Interface vorgenommen werden

Abbildung 19: Rules auf dem OpenVPN Interface

Konfiguration von BackupPC

Anlegen der Backup-Verzeichnisse

Als erstes werden auf BackupPC unter /home/rafisa-backup/backup die temporären Verzeichnisse für die zu sichernden Konfigurationsdateien angelegt. Die Verzeichnisse werden nach den Hostnames der zu sichernden Geräte benannt:

Abbildung 20:Backup Verzeichnis

Da die Backups als User backuppc gemacht werden, wird das Verzeichnis backup mit dem Befehl

«chown –R backuppc:backuppc /home/rafisa-backup/backup» dem User und der Gruppe backuppc zugeordnet.

Für die Prebackup-Scripts wird das Verzeichnis /home/rafisa-backup/bin angelegt. Danach werden für die Prebackup-Scripts mit dem Befehl touch vier Dateien angelegt:

Abbildung 21:Prebackup-Scripts Verzeichnis

Anlegen der Prebackup-Scripts für die Switches

Für die Switches wird folgendes Script (Beispiel ist für sw-fr-s01-01) angelegt:

#!/bin/bash

cd /home/rafisa-backup/backup/sw-fr-s01-01 ftp -n 172.21.1.4 «EOF

quote USER admin quote PASS 1234 get config

quit EOF

mv /home/rafisa-backup/backup/sw-fr-s01-01/config /home/rafisa-backup/backup/sw-fr-s01-01/sw-fr-s01-01.conf

In der ersten Zeile wird festgelegt, dass das Programm mit dem Befehl «bash» ausgeführt wird. In der nächsten Zeile wird mit «cd» ins temporäre Backupverzeichnis gewechselt. Danach loggt sich BackupPC mittels ftp auf dem Switch 172.21.1.4 ein und führt interaktiv die Kommandos aus, die sich zwischen der Markierung «EOF und EOF befinden. Mit «get config» wird das gewünschte Konfigfile ins temporäre Backupverzeichnis kopiert und danach mit «mv» umbenannt.

Anlegen des Prebackup-Scripts für die Firewall

Für die Firewall wird folgendes Script angelegt:

#!/bin/bash

/usr/bin/sshpass -p 1234 scp -oStrictHostKeyChecking=no admin@172.21.1.1:/conf/config.xml /home/rafisa-backup/backup/fw- fr-s01-01/fw-fr-s01-01.conf

In der ersten Zeile wird festgelegt, dass das Programm mit dem Kommando «bash» ausgeführt wird. In der zweiten Zeile wird mit «sshpass» das Passwort übergeben und danach mit «scp» das File config.xml auf der Firewall nach /home/rafisa-backup/backup/fw-fr-s01-01/fw-fr-s01-01.conf kopiert.

Konfiguration von BackupPC

Im Web-Interface von BackupPC werden zunächst alle benötigten Hosts angelegt:

Nach der Auswahl des Hosts kann unter «Edit config» die Backupkonfiguration für die Hosts eingerichtet werden. Unter der Registerkarte «Backup Settings» wird der Pfad zum entsprechenden Prebackup-Script angegeben. Also z.B. «/home/rafisa-backup/backup/fw-fr-s01-01». Beim Start wird dieses Script vor dem eigentlichen Backup ausgeführt und damit das Konfig-File des entsprechenden Netzwerkgeräts ins Verzeichnis «/home/rafisa-backup/backup/gerätename» kopiert.

Unter der Registerkarte «Xfer» wird die eigentliche Backup-Methode festgelegt. Für die lokale Kopie der Dateien wird die Methode «tar» ausgewählt. Tar wird von BackupPC dazu verwendet, den Inhalt des in der Einstellung «TarShareName» angegebenen Verzeichnisses in den Backup-Pool zu kopieren.

Die Einstellungen unter «Schedule» können so belassen werden. Dies führt dazu, dass einmal in der Woche zwischen 19:30 und 07:00 ein Full-Backup und danach jeden Tag ein Incremental-Backup durchgeführt wird, was für die Dauer der IPA mehr als genug ist.

WLAN-Controller

Basisinstallation Ubuntu 20.04 LTS

Als Vorarbeit wurde der prox-fr-205-01 geliefert, so dass wenn man diesen am sw-fr-s02-01 angeschlossen hat, in Betrieb genommen wurde. Zuerst wird mit Create VM, die virtuelle Maschine mit den nachfolgenden Konfigurationen erstellt.

Tabelle 10: Konfigurationsübersicht uni-fr-308-01

Am Schluss werden die ganzen vorgenommen Einstellungen aufgelistet und bestätigen das Erstellen der VM.

Abbildung 22: Bestätigen der technischen Spezifikationen der VM: uni-fr-308-01

Nun kann mit der Basisinstallation von Ubuntu 20.04 LTS begonnen werden:

Tabelle 11:Übersicht der Konfiguration Basisinstallation Ubuntu 20.04 LTS

Dann wird eine Systemaktualisierung durchgeführt, welche abgewartet werden muss. Sobald die Option erscheint für einen Neustart, kann dieser durchgeführt. Vor dem Neustart muss aber die ISO- Datei entfernt werden.

Nachdem das System wieder hochgefahren wurde und man sich erfolgreich eingeloggt hat kann ein Snapshot erstellt werden.

Installation WLAN-Contoller

Nach der Basisinstallation von Ubuntu kann die Controller-Software installiert werden. Dazu verbindet man sich zuerst über SSH mit dem Ubuntu-Server.

Mit dem Befehl «sudo apt install openjdk-8-jdk -y» wird Java in der benötigten Version installiert. Danach werden für das Funktionieren von apt die Pakete ca-certificates und apt-transport-https installiert.

Mit folgenden Befehlen werden die benötigten Repositories hinzugefügt:

• echo 'deb https://www.ui.com/downloads/unifi/debian stable ubiquiti' | sudo tee

/etc/apt/sources.list.d/100-ubnt-unifi.list

• wget -qO - https://www.mongodb.org/static/pgp/server-3.4.asc | sudo apt-key add –
• echo „deb https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse“ | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list
• sudo wget -O /etc/apt/trusted.gpg.d/unifi-repo.gpg https://dl.ui.com/unifi/unifi- repo.gpg

Danach kann der Unifi-Controller mit folgenden Befehlen installiert werden: sudo apt-get update && sudo apt-get install unifi

Mit folgendem Befehlt wird der Service gestartet:

sudo service unifi start

Konfiguration des WLAN-Controllers

n Chrome folgende URL: https://172.21.1.20:8443 aufrufen

Tabelle 12:Übersicht der Konfiguration Ersteinrichtung uni-fr-205-01

Nach Login erscheint ein Info Fenster mit der man zum Classic dashboard wechseln kann. Diese Einstellung wird akzeptiert. Dann wird die Option New User Interface deaktiviert und bestätigen diese Änderung.

Nach diesen Schritten kann ein Snapshot erstellt werden, mit der Bezeichnung Snapshot 2.Nachdem

dieser Vorgang beendet wurde, kann man sich dem Erstellen eines Netzwerks widmen. Mit Create Network, in den Network Settings werden diese erstellt. Nachdem dieser erstellt wurde, kann ein WLAN einrichten und diesem WLAN wird dann das gleichnamige Netzwerk zugewiesen. WLAN wird ebenfalls in den Settings erstellt. Die Beschreibung des Realisierungsvorgang wird anhand des WLAN

«Rafisa_Employees» erläutert.

Tabelle 13: Vorgenommen Konfigurationen im uni-fr-205-01

Nachdem der AP auf die Werkeinstellungen zurückgesetzt wurde, kann man diesen mit Hilfe eines Powerline POE Adapter anschliessen.

Sobald der AP im Web-Gui des Controllers erscheint, kann unter den Devices-Settings die Netzwerkkonfiguration statischen setzen. Dem AP wird die IP 172.21.1.21 gegeben.

Kontrollieren

Testkonzept

Testumgebung

Ziel ist, die gesamte Lösung zu testen. Da IT-Systeme so komplex sind, kann natürlich nicht alles getestet werden. Es ist deshalb auch wichtig auszuführen, was nicht getestet wird. Die Testsysteme und die Umgebung sieht man im untenstehenden Netzplan.

Abbildung 23: Testumgebung und Testsysteme

Wichtige Begriffe, die beim Testing verwendet werden, sind: Testobjekt, Testmittel, Testmethode, Testfall. Testobjekt ist der zu testende Gegenstand (z. B. eine Softwarefunktion, ein Softwaremodul oder ein Softwaresystem). Testmittel sind die eingesetzte Soft- und Hardware. Bei der Testmethode wird gesagt, um welche Art von Test es sich handelt, z.B. Komponententest (einzelne Komponente der Lösung), Integrationstest (Komponenten im Zusammenspiel), Systemtest (gesamtes System) oder Abnahmetest (Test durch Kunden).

Testobjekte

Die Funktionen folgender Objekte werden getestet:

1. VLANs
2. Firewall-Rules
3. LACP-Trunks
4. Access-Point
5. VPN-Verbindung
6. Backup-Scripts

Testfälle

In der folgenden Tabelle findet sich eine Auflistung der Testfälle mit einer Beschreibung, was getestet werden soll.

Was nicht getestet wird

In der folgenden Tabelle wir für jeden Testfall angegeben, was nicht getestet wird.

Testmittel und Testmethoden

In der folgenden Tabelle sind die Testmittel und Testmethoden pro Testfall aufgeführt.

Testdurchführung

In diesem Kapitel finden sich die Testprotokolle für die Testfälle.

VLANs

Firewall-Rules für die internen VLANs

Die Tabelle zeigt der Port und die IP-Quelladresse des Testsystems nb-fr-308-01 sowie die Zieladressen die FW-Interfaces:

Die Tabelle zeigt die Erwartungen (E) und die tatsächlichen Resultate (R) der Ping-Tests.

WLAN Access-Point

LACP-Trunks auf den Switches

Firewall-Rules für das VPN

Die Tabelle zeigt das Quell-VLAN in ZH (IP-Adresse 172.31.x.1) sowie das Ziel-VLAN (IP-Adresse 172.21.x.1) in FR sowie die erwarteten (E) sowie die tatsächlichen Resultate (R):

VLAN FR VLAN ZH

01 ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️

10 ❌❌ ✔️✔️ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌

14 ❌❌ ❌❌ ✔️✔️ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌

15 ❌❌ ❌❌ ❌❌ ✔️✔️ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌

21 ❌❌ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️ ✔️✔️

22 ❌❌ ✔️✔️ ❌❌ ✔️✔️ ❌❌ ✔️✔️ ❌❌ ✔️✔️ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌

23 ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ✔️✔️ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌

40 ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ✔️✔️ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌

51 ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ✔️✔️ ❌❌ ❌❌ ❌❌ ❌❌

52 ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ✔️✔️ ❌❌ ❌❌ ❌❌

53 ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ✔️✔️ ❌❌ ❌❌

54 ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ✔️✔️ ❌❌

55 ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ❌❌ ✔️✔️

Test für Backup & Restore

Auswerten

Auswertung der Projektphasen

Am Tag 1 wurde von meiner VF vorgeschlagen. die FA 2021 nochmals durchzulesen. Dadurch konnte ich am Tag 2, an dem auch der erste Expertenbesuch war, Fragen notieren. Die wichtigste Frage für mich war das Abklären bezüglich des Setzens der Firmenstandards. Im FA 2021 wurde verlangt, dass die Firmenstandards im Teil 1 des Berichts enthalten sein sollen. Dasselbe hat der HEX vorgeschlagen. Im Bericht ist aber der Firmenstandard im Teil 2 bzw. im Informieren und ebenfalls im Anhang. Auch gab der HEX eine Zusammenfassung in seinen Worten, welche kurze Schwerpunkte dieser IPA nochmals zusammenfasst. Die Analyse des Soll-Plans aus Fribourg war in der Phase Informieren die grösste Herausforderung.

Beim 1. Expertenbesuch hat der Experte die wohl grösste Herausforderung erwähnt. Nämlich die Phase Planen und Entscheiden. Diese Anmerkung habe ich zwar wahrgenommen, aber erst später wurde mir die Schwierigkeit klar. Vor allem für die Planung der Backup und Restore oder die Planung des Soll-Zustands holte ich mir die Hilfe von meiner VF. Für die Darstellung im Bericht von den beiden Meilensteinen würde ich trotzdem wahrscheinlich wieder um Hilfe bitten. Diese Meilensteine haben mich kurz aus der Bahn gebracht. Da sonst die Gliederung nicht logisch wäre, wenn man von Entscheiden zu Planen arbeitet. Dafür gab mir VF den Tipp, dass ich die Phase Entscheiden vorziehen bzw. nur für das Einrichten der Switches und der FW. Dafür soll ich aber auch gleichzeitig mit der Realisation von diesen Netzwerkkomponenten beginnen. Auch wurde mir immer klar wie wichtig Selbstdisziplin. Ich habe am Anfang vom Projekt das manuelle Backup der Konfigurationsdateien von den Switchen und der Firewall, konnte aber aufgrund Zeitdrucks dies nicht konsequent durchziehen.

Während der Phase Realisieren ist mir aufgefallen, dass ich immer wieder zurückkehren musste zu anderen IPERKA Phasen. Es wurde mir auch klar, dass man selbst wenn man dieses Projekt nach den Phasen gliedert, diese nicht einfach linear abarbeiten kann.

Zum Kontrollieren kann ich sagen, dass mir dadurch, dass ein Testkonzept verlangt und dieses auch im Planen miteinfliesst.

Schlussfolgerung und persönliche Bilanz

Ich kann sagen das dieses Projekt am Ende alles in allem gut gelungen ist. Der Stress wurde nach Tag 2 bemerkbar, dennoch konnte ich den Rückstand auf den Zeitplan immer wieder reduzieren.

Das nächste Mal würde ich das Planen noch methodischer planen. Da ich die manuelle Sicherung nicht jeden Tag durchführen konnte. würde ich mit Outlook mir einen Termin als Erinnerung am Morgen und Abend des jeweiligen Tages erstellen. Ich konnte viele Erkenntnisse aus den einzelnen Phasen mitnehmen. Die grösste ist wohl, dass selbst wenn man die Aufgabe nach Iperka gliedert, diese dennoch nicht abgearbeitet werden kann.

Literaturverzeichnis

Teil 3 – Anhang

Glossar

Firmenstandards Netzerk der Rafisa Informatik GmbH

VLANs der Rafisa Dietikon

zh.rafisa.org - 172.16.0.0/12

Berechtigungsmatrix

Die Matrix wird Zeile nach Spalte gelesen (Zugriff von Zeile nach Spalte erlaubt/nicht erlaubt)