Netzsegmentierung - Grundlagen

In Schulen sind Netzwerke grundsätzlich in getrennte logische Bereiche zu unterteilen und voneinander zu trennen. In allen Bundesländern gibt es die Vorgabe, dass das schulische Verwaltungsnetz vom sog. pädagogischen Netz zu trennen ist.

Für das pädagogische Schulnetz wird darüber hinaus empfohlen, dieses aus datenschutzrechtlichen Gründen in wenigstens drei logische Subnetze zu untergliedern: Lehrernetz, Schülernetz und Servernetz. Bei größeren Netzinstallationen ist aufgrund der Performance zudem anzuraten, weitere logische Subnetze zu erstellen, so dass z.B. pro Computerraum ein weiteres Subnetz erstellt wird.

Grundlegende Informationen zum Aufbau von Schulnetzen und deren Untergliederung mithilfe von VLANs finden sich auf der Seite Lehrer*innenfortbildung BW - IT-Infrastruktur an Schulen

In dieser Dokumentation soll der Fall dokumentiert werden, dass das pädagogische Netzwerk in mehrere Segmente aufgeteilt wird und diese über das gesamte Netzwerk hinweg genutzt werden. Hierbei wird eingangs die Struktur erläutert, die mithilfe der Netzsegmentiertung erreicht werden soll. Im Anschluss wird schrittweise deren Umsetzung mithilfe von sog. L2-Switches, L3-Switches und die erforderliche Anpassung von linuxmuster.net dargestellt. Hierzu werden die Konfigurationsschritte am Beispiel eines Cisco SG300 L3-Switches und der Anbindung eines L2-Switches anhand eines HP2650 L2-Switches dargestellt.

Es können ebenfalls andere managebare L2- und L3-Switches eingesetzt werden. Die Konfigurationsschritte sind dann entsprechend auf die jeweiligen Geräte anzupassen. Entscheidend für die Anpassung dieser Schritte ist es, das Segmentierungskonzept nachvollzogen zu haben.

Eine Erweiterung (oder Reduzierung) um weitere Subnetzbereiche, beispielsweise klassenraumweise oder der Wegfall der DMZ, ist ohne Schwierigkeiten möglich.

Vorbemerkungen

Diese Dokumentation stellt die Netzwerksegmentierung und die zugehörigen Konfigurationsschritte für die Nutzung mehrerer Netzsegmente vor. Diese Struktur ist auf die eigenen Gegebenheiten / Anforderungen entsprechend anzupassen.

Geplante Zielstruktur

Das linuxmuster.net-Netzwerk soll unter Verwendung eines L3-Switches und weiterer managebarer L2-Switches in 8 Segmente unterteilt werden.

VLAN Name Verwendung Netzwerkadressen
Internet alle Server in ROT IP-Netz der Firewall an ROT
Server alle Server/-VMs in GRÜN 10.16.1.0/24
WLAN ein WLAN-Netz 172.16.16.0/24
DMZ Betrieb eigener, extern erreichbarer Dienste 172.16.17.0/24
Lehrer Zugriff mit Lehrer PCs, Laptops 10.30.10.0/24
Gaeste Zugriff mit Gast-Geräten 10.30.20.0/24
Raum100 Zugriff mit Schulungsgeräten im Raum 100 10.20.100.0/24
Raum200 Zugriff mit Schulungsgeräten im Raum 200 10.20.200.0/24

Für die Unterteilung sind auf allen Switches entsprechende VLANs in gleicher Weise einzurichten. Die Verbindungen zwischen den Switches werden als Trunks (bzw. Tagged-Ports) definiert, die über Gerätegrenzen hinweg die Daten den VLANs zuordnen. Die Ports auf den Switches sind jeweils den gewünschten VLANs zuzuordnen (port-basierte VLANs), so dass die an den Ports angeschlossenen Geräte ihre Daten in das zugeordnete VLAN schicken.

Der L3-Switch erhält in jedem VLAN die letzte nutzbare IP-Adresse - also z.B. für das VLAN Lehrer die IP 10.30.10.254, außer dort, wo die Firewall im jeweiligen Subnetz bereits diese IP-Adresse nutzt.

VLAN IDs und Gateway-IPs

In dieser Dokumentation werden folgende VLAN-IDs und Gateway-IPs verwendet:

VLAN Name VLAN ID Gateway-IP (+ Firewall-IP )
VLAN Internet 5 IP aus dem Netz der Firewall an der Schnittstelle ROT [1]
VLAN Server 10 10.16.1.253 (Firewall: 10.16.1.254)
VLAN WLAN 20 172.16.16.253 (Firewall: 172.16.16.254)
VLAN DMZ 30 172.16.17.253 (Firewall: 172.16.17.254)
VLAN Lehrer 40 10.30.10.254
VLAN Gaeste 50 10.30.20.254
VLAN Raum100 100 10.20.100.254
VLAN Raum200 200 10.20.200.254
[1]z.B. GW-IP: 192.168.10.14/28 + FW-IP: 192.168.10.2/28 und IP des DSL-Routers: 192.168.1.1/28

Damit DHCP-Anfragen der Clients aus dem internen (grünen) Netz an den Server 10.16.1.1 weitergeleitet werden, muss auf dem L3-Switch ein DHCP-Relay-Agent konfiguriert werden. Entsprechende Hinweise finden sich dann bei der Konfiguration des L3-Switches.

Struktur: Segmentiertes Netz

In der Abbildung wird die Verbindung zwischen beiden Switches sowie zwischen dem L3-Switch und dem VM-Server lila als Trunk (Cisco) bzw. Tagged-Port (HP) gekennzeichnet. Dies bedeutet, dass der Uplink zwischen den Switches so zu konfigurieren ist, dass die VLAN-Tags weitergereicht werden. An dem L2-Switch werden die Ports dann jeweils den erforderlichen VLANs zugeordnet (port-basierte VLANs).

Für einen VM-Server bedeutet dies, dass der Datenverkehr aller VLANs hierin weitergeleitet wird und dann die Daten gemäß ihrem VLAN-Tag der jeweiligen VM zugeordnet werden.

Struktur: Segmentiertes Netz mit virtualisierten Servern

Verfügt der VM-Server über mehrere Netzwerkschnittstellen wie in der Abbildung dargestellt, so sollten diese gebündelt werden (je nach Hersteller werden hierfür die Begriffe NIC Bonding, LinkAggregation, Etherchannel) verwendet, um den Datendurchsatz zu verbessern. Dies kann ebenfalls für die Verbindung zwischen den Switches (Uplinks) genutzt werden. In dieser Dokumentation soll die LinkAggregation am Beispiel des L3-Switches verdeutlicht werden. Es werden für 8 Ethernetschnittstellen vier Link-Aggregation Ports bestehend aus jeweils zwei Ethernetschnittstellen gebildet, die dann entsprechend konfiguriert werden.

Vorbereitungen auf dem Server

Im ersten Schritt werden die in der Datei /etc/linuxmuster/workstations verwalteten Rechner so geordnet, dass Sie in weiteren Schritten automatisch in das richtige Subnetz einsortiert werden.

Zunächst bearbeitet man die Workstations-Datei derart, dass alle Rechner, die später in den jeweiligen Netzen sein sollen, Adressen aus dem jeweiligen VLAN erhalten. So müssen z.B. für Raum 100 die PCs eine IP aus dem Netz 10.20.100.x erhalten (VLAN ID 100).

Dabei ist es unerheblich, ob die Veränderungen im Serverterminal oder in der Schulkonsole vorgenommen werden.

Ausgangszustand der Datei workstations

Die Rechner sind raumweise einsortiert.

#Raum;Rechnername;Imageklasse;Mac-Adresse;IP-Adresse;Subnetzmaske;;;;;
r100;r100-ws01;qgm;C4:34:6B:7E:71:10;10.16.100.1;255.240.0.0;1;1;1;1;1
r100;r100-ws02;qgm;64:51:06:38:B6:6F;10.16.100.2;255.240.0.0;1;1;1;1;1
r100;r100-printer-color;printer;00:1E:0B:12:DB:78;10.16.100.101;255.240.0.0;1;1;1;1;0
r200;r200-printer-bw;printer;00:18:FE:A3:A8:60;10.16.200.201;255.240.0.0;1;1;1;1;0
r200;r200-ws01;qgm;64:51:06:38:B6:64;10.16.200.1;255.240.0.0;1;1;1;1;1
r116a;r116a-ws01;sozpaed;88:AE:1D:EF:E3:3B;10.16.6.1;255.240.0.0;1;1;1;1;0
nwt100;r110-ws01;qgm;64:51:06:43:D2:62;10.16.100.1;255.240.0.0;1;1;1;1;1
nwt100;r110-ws02;qgm;64:51:06:43:D3:21;10.16.100.2;255.240.0.0;1;1;1;1;1
rhm;rhm-ws01;qgm;64:51:06:38:B7:AC;10.19.111.1;255.240.0.0;1;1;1;1;1

Die Workstations-Datei soll nun so umstrukturiert werden, dass später

  • alle Rechner in Raum r100 und r200 IPs aus den Subnetzen der beiden Räume VLAN100 und VLAN200 erhalten
  • alle anderen Rechner IPs aus dem Subnetz VLAN Lehrer erhalten

Endzustand der Datei workstations

#Raum;Rechnername;Imageklasse;Mac-Adresse;IP-Adresse;Subnetzmaske;;;;;
r100;r100-ws01;qgm;C4:34:6B:7E:71:10;10.20.100.1;;1;1;1;1;1
r100;r100-ws02;qgm;64:51:06:38:B6:6F;10.20.100.2;;1;1;1;1;1
r100;r100-printer-color;printer;00:1E:0B:12:DB:78;10.20.100.101;;1;1;1;1;0
r200;r200-printer-bw;printer;00:18:FE:A3:A8:60;10.20.200.201;;1;1;1;1;0
r200;r200-ws01;qgm;64:51:06:38:B6:64;10.20.200.1;;1;1;1;1;1
r116a;r116a-ws01;sozpaed;88:AE:1D:EF:E3:3B;10.30.10.1;;1;1;1;1;0
nwt100;r110-ws01;qgm;64:51:06:43:D2:62;10.30.10.2;;1;1;1;1;1
nwt100;r110-ws02;qgm;64:51:06:43:D3:21;10.30.10.3;;1;1;1;1;1
rhm;rhm-ws01;qgm;64:51:06:38:B7:AC;10.30.10.4;;1;1;1;1;1

Alle Rechner die später im Lehrernetz sein sollen, haben nun Adressen der Form 10.30.10.x, alle Rechner die später im VLAN Raum100 sein sollen haben Adressen der Form 10.20.100.x. Eventuell noch bestehende Netzmasken im sechsten Feld sind nicht mehr erforderlich. Dies wird durch die später folgende Umstellung des linuxmuster.net Servers auf Subnetting geregelt.

Nun übernimmt man die Änderungen durch den Befehl import_workstations oder entsprechend in der Schulkonsole. Nach dem nächsten Rechnerstart erhalten die geänderten Rechner die neuen IP-Adressen.

Geänderte Drucker auf dem Server anpassen

Hat man bei der Neustrukturierung IP-Adressen von Druckern geändert, die in CUPS auf dem Server als Netzwerkdrucker eingerichtet sind, muss man dort die neue IP-Adresse anpassen, da diese Änderungen durch den erneuten Import der Arbeitsstationen nicht übernommen werden.

Am Beispiel des Druckers r120-printer-bw wird das Vorgehen kurz dargestellt.

Dazu öffnet man die CUPS Seite auf dem Server und bearbeitet den betreffenden Drucker - man sieht, die ursprüngliche IP-Adresse 10.16.120.203.

Wichtig

Bilder sind anzupassen !!

CUPS Einstellungen anpassen

Zunächst wählt man im Administrationsmenü Drucker ändern.

CUPS Einstellungen anpassen

Jetzt wählt man die bisherige Anschlussart, im Beispiel AppSocket/HP JetDirect, im nächsten Bildschirm werden dann die bisherigen Einstellungen angezeigt.

CUPS Einstellungen anpassen

In diesem Fall, wie zu sehen socket://10.16.120.203:9100.

CUPS Einstellungen anpassen

Jetzt ändert man die IP-Adresse auf den neuen Wert und lässt den Rest unverändert.

CUPS Einstellungen anpassen

Im weiteren Änderungsverlauf werden jeweils die bisherigen Einstellungen angezeigt, die man stets übernimmt. Um die Änderungen abzuschliessen, muss man am Ende das root-Passwort angeben.

Auf diese Weise müssen alle zuvor geänderten Drucker auf Ihre neue IP-Adresse angepasst werden.

Vorbereitung der Switches im Netzwerk

In Vorbereitung auf das Subnetting sind auf allen Switches im Netzwerk (in allen Gebäuden) die VLANs mit den IDs 10, 20, 30, 40, 50, 100, und 200 anzulegen, damit später die Portkonfiguration aller Switches angepasst werden kann.

Das genaue Vorgehen kann hier nicht umfassend dokumentiert werden, da es auch von Art und Hersteller der Switche abhängt.

Exemplarisch erfolgt die Darstellung zur Einrichtung der VLANS auf L2-Switches anhand des Modells Hewlett Packard HP 2650. Für andere Modelle sind die Konfigurationsschritte entsprechend anzupassen.

Hewlett Packard HP2650

VLANs HP2650

Einige HP-Switches haben eine textbasierte „Menükonsole“, hier geht man prinzipiell folgendermaßen vor:

  • Mit telnet/ssh auf die Switchkonsole verbinden
  • Das Konfigurationsmenü öffnen
  • Nach Switch-Konfiguration, VLAN Menu, VLAN Names wechseln und dort die VLans mit den IDs 10, 20, 30, 40, 50, 100, und 200 anlegen.

Wichtig

Bilder sind noch anzupassen !!

VLANs HP2650 VLANs HP2650 VLANs HP2650

Als VLAN Name ist auf allen Switches ein identischer Name - also z.B. VLAN Server, VLAN WLAN, VLAN DMZ, VLAN Lehrer, VLAN Gaeste, VLAN Raum100, VLAN Raum200 - für das jeweilige VLAN anzugeben.

Wichtig

Es ist immer das Protokoll 802.1q für die Definition der VLANs anzuwenden. Dies ist ein genormtes Netzwerkprotokoll, das es ermöglicht, sog. tagged VLANs zu definieren.

Konfiguration des L3-Switches

Einspielen der vordefinierten Konfiguration

Hinweis

Die Firmware des Cisco L3 Switch SG300-10 ist vorab auf die Version 1.4.8.6 zu aktualisieren. Hier der Link für die Firmware

Für den L3-Switch Cisco SG300 stehen vorbereitete Konfigurationsdateien zur Verfügung, die die Konfiguration auf dem Switch so einspielen, wie diese in dieser Dokumentation beschrieben wird. Es werden also 8-Ports zu vier Link Aggregation Ports - jeweils bestehend aus zwei Ports - erstellt. Zudem werden alle Ports als Access Ports oder Trunks definiert und die weitergeleiteten / getaggten VLANs hierfür definiert. DHCP Einstellungen und ARP Einstellungen werden ebenso definiert.

Je nachdem für welches Subnetz der Server von linuxmuster.net konfiguriert wurde, ist die passende Konfigurationsdatei zu wählen:

Upload der Konfiguration: Schritt für Schritt

Hinweis

Im Auslieferungszustand kann auf den Cisco Switch mit der IP 192.168.1.254/24 zugegriffen werden. Diese IP wird in dieser Konfiguration dem VLAN 1 (Management) zugewiesen, so dass nach Einspielen der Konfiguration und dem Reboot weiterhin mit der Adresse die Konfiguration angepasst werden kann.

Nach dem Neustart melden Sie sich erneut an dem L3-Switch an und kontrollieren nochmals die Switch-Ports. Hierbei ist zwischen Access-Ports (port-basierte VLANs) und Trunk-Ports zu unterscheiden.

Allgemeine Hinweise zur Konfiguration der Switch-Ports

Für jeden Switchport muss festgelegt werden, ob das VLAN mit der VLAN-ID x ausgeschlossen, getaggt akzeptiert oder Datenpakete, die mit der VLAN-ID x getaggt sind, ungetaggt weitergeleitet werden.

  • Ausgeschlossen: Datenpakete, die mit der VLAN-ID x getaggt sind, werden verworfen.
  • Getaggt: Datenpakete, die mit der VLAN-ID x getaggt sind, werden weitergeleitet.
  • Ungetaggt: Von Datenpaketen, die mit der VLAN-ID x getaggt sind, wird die VLAN-ID entfernt und zum Client weitergeleitet. Die meisten Clients können mit getaggten Datenpaketen nichts anfangen.
  • PVID: Bei einem Port, der mit der PVID x markiert ist, werden alle ungetaggten Datenpakete des Clients mit der VLAN-ID x getaggt.

Anwendung auf das Ausgangsbeispiel

Nachstehende Ausführungen, dienen dazu, die eingespielte Konfiguration zu prüfen oder ggf. Anpassungen für abweichend eingesetzte Hadrware zu erstellen.

Wichtig

Abb. fehlt, die die Nutzung der Ports zu den Uplinks darstellt

Definition der Access Ports (port-based VLAN)

  • Port 7: Port wird dem VLAN 10 (Server VLAN) zugeordnet (untagged / PVID 10).
  • Port 8: Port wird dem VLAN 5 (Internet VLAN) zugeordnet (untagged / PVID 5).

Definition / Zuordnung der VLANs

  • LAG1 (Port 1 & 2): Der Hypervisor ist über zwei Netzwerkkabel mit Port 1 & 2 des Switches verbunden. Auf der Seite des Hypervisor sind ebenfalls zwei Ports durch LinkAggregation definiert. LAG1 ist getaggtes Mitglied der VLANs 5, 10,20,30,40,50,100,200.
  • LAG2 (Port 3 & 4): Ein anderern L2-Switch ist über zwei Netzwerkkabel mit Port 3 & 4 des Switches verbunden. Auf dem L2-Switch sind ebenfalls zwei Ports durch LinkAggregation definiert. LAG2 ist getaggtes Mitglied der VLANs 5, 10,20,30,40,50,100,200.
  • LAG3 (Port 5 & 6): Ein anderern L2-Switch ist über zwei Netzwerkkabel mit Port 5 & 6 des Switches verbunden. Auf dem L2-Switch sind ebenfalls zwei Ports durch LinkAggregation definiert. LAG2 ist getaggtes Mitglied der VLANs 5, 10,20,30,40,50,100,200.
  • Port 7: Port wird dem VLAN 10 (Server VLAN) zugeordnet (untagged / PVID 10).
  • Port 8: Port wird dem VLAN 5 (Internet VLAN) zugeordnet (untagged / PVID 5).
  • LAG4 (Port 9 & 10): Ein anderern L2-Switch ist über zwei Netzwerkkabel mit Port 9 & 10 des Switches verbunden. Auf dem L2-Switch sind ebenfalls zwei Ports durch LinkAggregation definiert. LAG2 ist getaggtes Mitglied der VLANs 5, 10,20,30,40,50,100,200.

Für die VLANs sollten schliesslich folgende statischen Routen definiert sein:

Access Listen definieren

Hinweis

Der Cisco L3-Switch kann nur eingehenden Datenverkehr filtern. Dies ist relevant für die Definition und Anwendung der Listen für die Zugriffssteuerung (ACLs). Achtung: Die hier vorgestellten ACLs führen dazu, dass bsp. PCs aus zwei verschiednen Klassenräumen sich untereinander via ping nicht mehr erreichen können. Wenn dies gewünscht ist, müsste in den ACEs eine weitere Regel erstellt werden, die Daten Zulassen –> 10.(subnet).0 mit Netmask 0.0.0.255 - also z.B. 10.16.1.0 0.0.0.255. Diese Regel muss die niedrigste Priorität erhalten.

ACL: Lehrkraefte und Klassenraeume

Es sind Zwei ACL anzulegen: Lehrkraefte und Klassenraume. Dies erfolgt im Menü unter: Zugriffssteuerung –> IPv4 basierte ACL –> Hinzufügen –> <Name der ACL>

ACEs hinzufügen

Für die zuvor genannten ACLs sind jetzt sog. Entries (Einträge) anzulegen. Hierfür wählen Sie im Menü: Zugriffssteuerung –> IPv4 basiertes ACE –> <Name der ACL aus Liste auswählen - hier Lehrkraefte> –> Hinzufügen

Sie geben dann folgende Werte an:

  • Priorität: 20
  • Aktion: Zulassen (permit)
  • Protokoll: Beliebig (IP) (any)
  • Quell-IP-Adresse: Beliebig (any)
  • Ziel-IP-Adresse: Benutzerdefiniert (user defined)
  • Wert der Ziel-IP-Adresse: 10.16.1.0 (Servernetz-IP)
  • Ziel-IP-Platzhaltermaske: 0.0.0.255 (invertierte Netzmaske)

Danach legen sie eine zweite ACE für die ACL Lehrkraefte an. Im Ergebnis sollten Sie für die Lehrkraefte dann nachstehenden Einträge haben:

Danach legen Sie ACEs für die ACL Klassenraeume an. Danach sollten Sie nachstehende Einträge haben:

Schliesslich müssen die definierten ACLs noch an die VLANs gebunden werden, damit diese korrekt angewendet werden. Die Zuordnung sollte für das hier gewählte Beispiel wie folgt aussehen:

Die Einstellungen für das DHCP-Relaying sollten wie folgt aussehen:

Hierdurch wird sichergestellt, dass DHCp-Anfragen aus den genannten VLANs auch beim linuxmuster.net Server ankommen und bedient werden können.

Um Wake-on-LAN über Subnetze hinweg nutzen, so muss ein sog. UDP-Relaying eingerichtet werden. Hierdruch können dann z.B. Clients via linbo-remote aufgeweckt werden.

Nachdem Sie alle Einstellungen kontrolliert und ggf. angepasst haben, speichern Sie die aktuelle Konfiguration. Dies erledigen Sie bei dem Cisco-Switch dadruch, dass Sie die Konfiguration aus dem RAM (running-config) auf die NVRAM-Konfiguration kopieren (startup-config).

Weitere L2-Switches mit VLANs anbinden

In der hier dargestellten Konfiguration des L3-Switches gibt es vier LAG-Ports. Drei von diesen LAG-Ports (2,3,4) sind dazu gedacht, um eine Anbindung zu weiteren L2-Switches zu ermöglichen, die ebenfalls für die Nutzung der VLANs zu konfigurieren sind.

Wesentlich ist, dass ebenfalls alle VLANs, die auf dem L3-Switch eingerichtet wurden, hier ebenfalls erstellt werden. Danach muss eine LinkAggregation mit zwei Ports erstellt werden, die die Anbindung zum LAG-Port des L3-Switches zur Verfügung stellt. Diese LA ist dann als Trunk zu definieren, der alle VLANs (20,30,40,50,100,200) tagged.

Danach werden die einzelnen Ports als untagged Ports einem der gewünschten VLANs zugeordnet. Die Clients sind dann entsprechend auf den gewünschten VLAN-Port anzuschliessen.

Ist es ein Switch in einem PC-Raum, so ist der Uplink als LinkAggregation und Trunk mit den o.g. getaggten VLANs zu definieren. Alle anderen Ports sind dann z.B. als Access Ports zu definieren, die dem VLAN 100 (Raum 100) zugeordnet sind, so dass alle angeschlossenen PCs in diesem VLAN sind.

Hinweis

Es sollten alle Switch Konfigurationen, VLANs und Port-Belegungen sehr genau pro Switch dokumentiert sein. Hierzu ist es hilfreich in jedem Verteilerschrank eine entsprechende Dokumentation zu hinterlegen. Als Hilfestellung zur Erstellung dieser Dokumentation kann folgende Datei dienen:

Einfache Dokumentation mit Calc.

Umstellen des Servers auf Subnetting

Das Umstellen auf Subnetzbetrieb geschieht per Setuproutine mit

# linuxmuster-setup --modify

oder im Falle einer Neuinstallation mit

# linuxmuster-setup --first

Dazu muss die Frage nach dem Subnetting nur mit Ja beantwortet werden.

Im Verlauf des Setups werden die für Subnetzbetrieb notwendigen Anpassungen auf Server und Firewall vorgenommen:

Die Netzwerkkonfiguration von Server und Firewall wird auf ein 24 Bit-Netz geändert (10.16.1.0/255.255.255.0), sodass diese quasi ein Serversubnetz innerhalb des übergeordneten 12 Bit-Netzes (10.16.0.0/255.240.0.0) bilden. Es werden statische Routen auf Server und Firewall für das übergeordnete 12 Bit-Netz mit der IP-Adresse des Layer-3-Switches als Gateway (10.16.1.253 für das 10.16.0.0er Netz) angelegt, damit das Routing aus den Subnetzen zum Server funktioniert.

Für die Subnetzkonfiguration wird mit /etc/linuxmuster/subnets eine neue Konfigurationsdatei eingerichtet. Für jeden in /etc/linuxmuster/workstations definierten Raum wird automatisch ein Subnetz mit 24 Bit-Netzwerkpräfix (Netzmaske 255.255.255.0) angelegt. Die DHCP-Konfiguration wird dergestalt angepasst, dass die bisherige freie IP-Range für die Rechneraufnahme (z.B. 10.16.1.100-10.16.1.200) entfällt. Freie IP-Ranges müssen künftig in /etc/linuxmuster/subnets für jedes Subnetz definiert werden. Die DHCP-Subnetzkonfiguration wird danach von import_workstations in die Konfigurationsdatei /etc/dhcp/dhcpd.conf.linuxmuster geschrieben.

Die Standardnetzmaske 255.240.0.0 bleibt global gültig. Subnetze werden innerhalb des durch die globale Netzmaske vorgegebenen IP-Bereichs) angelegt. Dabei sind 24 Bit- (Netzmaske 255.255.255.0), als auch 16 Bit-Subnetze (Netzmaske 255.255.0.0) möglich.

Subnetze einrichten / Aufbau der Konfigurationsdatei

Subnetze werden über die Konfigurationsdatei /etc/linuxmuster/subnets eingerichtet und konfiguriert. Sie enthält pro Zeile eine Subnetzdefinition, die aus sechs mit Semikolon getrennten Feldern besteht (Kommentarzeilen sind erlaubt):

Feld 1 Feld 2 Feld 3 Feld 4 Feld 5 Feld 6
Netz-IP/Präfix Gateway-IP Erste Range-IP Letzte Range-IP Intranet-Zugriff (0/1) Internet-Zugriff (0/1)

Konfiguration für das Ausgangsbeispiel

Bezeichnung Netz-IP/Präfix Gateway-IP Erste Range-IP Letzte Range-IP Intranet-Zugriff Internet-Zugriff
Raum 100 10.20.100.0/24 10.20.100.254 10.20.100.100 10.20.100.200 nein nein
Raum 200 10.20.200.0/24 10.20.200.254 10.20.200.100 10.20.200.200 nein nein
Lehrer 10.30.10.0/24 10.30.10.254 / / nein nein
Gaeste 10.30.20.0/24 10.30.20.254 10.30.20.1 10.30.20.253 nein ja

Daraus ergibt sich folgender Aufbau der Konfigurationsdatei /etc/linuxmuster/subnets:

# Raum 100
10.20.100.0/24;10.20.100.254;10.20.100.100;10.20.100.200;0;0
# Raum 200
10.20.200.0/24;10.20.200.254;10.20.200.100;10.20.200.200;0;0
# Lehrkräftenetz
10.30.10.0/24;10.30.10.254;;;0;0
# Gästenetz
10.30.20.0/24;10.30.20.254;10.30.20.1;10.30.20.253;0;1

Beachten Sie, dass Änderungen der Subnetzkonfiguration erst wirksam werden, wenn sie durch Ausführung des Befehls

# import_workstations

in das System übernommen wurden.

Wichtig

Sonderstellung für Serversubnetz: Das Servernetz wird automatisch per default ohne freie Range angelegt und daher auch nicht in /etc/linuxmuster/subnets eingetragen. Hosts, die Teil des Servernetzes sein sollen, benötigen also immer einen Eintrag in /etc/linuxmuster/workstations.

Wird in /etc/linuxmuster/workstations ein neuer Host hinzugefügt, dessen IP-Adresse in keines der aktuell definierten Subnetze passt, legt import_workstations für ihn ein neues 24 Bit-Subnetz an. Das bedeutet auch, bei der Umstellung auf Subnetzbetrieb wird Ihre in /etc/linuxmuster/workstations angelegte Raumstruktur automatisch in Subnetze aufgeteilt.

Denken Sie daran neue Subnetze in der VLAN-Konfiguration ihrer Switche entsprechend zu ergänzen.

Interner und externer Zugriff

In der Konfigurationsdatei /etc/linuxmuster/subnets lässt sich für jedes Subnetz festlegen, ob IP-Adressen aus der frei definierten Range Zugriff auf Intranet-Resourcen (Feld 5) oder Internet (Feld 6) haben. Dabei bedeuten

0 = kein Zugriff
1 = Zugriff erlaubt

Zwei Dinge sind hierbei zu beachten:

Voreinstellungen für die Intranet- und Internetsperre für Räume und einzelne (in /etc/linuxmuster/workstations definierte) Rechner werden nach wie vor über die Schulkonsole (Aktueller Raum) bzw. die Konfigurationsdatei /etc/linuxmuster/room_defaults vorgenommen.

Ausnahme: Wird für die freie Range eines Subnetzes das Internet freigegeben (1 in Feld 6), ist für importierte Rechner dieses Subnetzes die Internetsperre wirkungslos. Falls Sie also z.B. für mobile Geräte ein Netz mit freiem Internetzugriff benötigen, konfigurieren Sie dafür besser ein eigenes Subnetz.

Tests und Fehlersuche

Folgende Tests sollten erfolgreich verlaufen, sofern alle Schritte zur Netzsegmentierung korrekt umgesetzt wurden:

Hinweis

still to be written