Veit Schiele Communications

Veit Schiele Communications

Zugangskontrolle

Eine bessere Zugangskontrolle im Netzwerk kann gewährleistet werden durch die Einrichtung verschiedener VLANs, die durch eine Firewall im Gateway getrennt werden. Dabei werden die Netze im Wesentlichen danach unterschieden, wer Zugang zu diesen Netzen erhalten soll.
erstellt von Veit Schielezuletzt verändert: 09.12.2014 18:10
Mitwirkende: Michael Hierweck
© Veit Schiele, 2011–2014

Aufteilung in verschiedene VLANs

Die Aufteilung in private, abgeschottete Netze (VLANs) zwischen den Managed Servern eines Nutzers erlaubt effiziente und sichere Verbindungen.

Dabei unterscheiden wir üblicherweise zwischen den folgenden Netzen, die nicht nur durch VLANs, sondern zusätzlich durch Verkabelung und separate Switches oder Router getrennt sind:

Frontend-Netzwerk
Dieses Netzwerk ist für allgemeine Anfragen gedacht. Der Zugang zum Internet liegt dabei redundant an, wobei dieser erst durch BGP-Router und danach durch Static-IP-Router zu den Hosts leitet. In den Hosts werden die Internet-Zugänge über Bonding-Treiber zusammengeführt und anschließend über Software-Bridges an die einzelnen virtuellen Maschinen weitergegeben.
Server-Netzwerk
Physikalisch getrenntes Netzwerk zur Kommunikation der Anwendungen untereinander. In diesem Netzwerk lassen sich VLANs aufschalten, um den Traffic zwischen verschiedenen Anwendungskomponenten sicher übertragen zu können. Darüberhinaus können auch verschiedene Traffic-Arten einer Anwendung separiert werden, so z.B. die Verbindung einer Anwendung zur Datenbank von derjenigen zu einem Cache oder Load-Balancer.
Replikationsnetzwerk
Das Netzwerk wird für die Replikation der Standby-Hosts verwendet um eine erhöhte Verfügbarkeitskontrolle zu gewährleisten.
Speichernetzwerk
Dieses Netzwerk dient dazu, eine erhöhte Verfügbarkeitskontrolle zu gewährleisten. Es wird verwendet für SAN-Traffic. Es basiert auf dedizierten Punkt-zu-Punkt Verkabelungen, die von außen nicht erreichbar sind.
Management-Netzwerk
Das Netzwerk wird verwendet für den Zugang zu den Routern, Switches, Betriebssystem der Hosts und die Remote-Management-Ports der Hosts. Der Zugang zu diesem Netz ist ausschließlich über einen VPN-Gateway möglich und verwendet private IPv4-Adressen. Dieses Netz wird auch noch verfügbar sein, wenn Probleme in den anderen Netzen auftauchen.

Redundante Router

Sowohl die öffentlich erreichbaren Router wie auch die internen Router sind redundant ausgelegt. Die Verbindung zwischen beiden wird über STP hergestellt.

redundant router

Mit den oben angegebenen Pfadkosten wird gewährleistet, dass jeder Router im lokalen Netz einen bevorzugten Router im öffentlichen Netz hat, da eine Verbindung mit Pfadkosten von 200 erst aktiv wird, wenn eine 100 er-Verbindung ausfällt.