[Projekt] Standortvernetzung per VPN

In diesem Eintrag präsentieren wir Ihnen die bei einem Kunden kürzlich durchgeführte Standortvernetzung mittels verschlüsselter VPN-Verbindungen; dadurch ist eine sichere Kommunikation bzw. Vernetzung von Außenstellen mit der Firmenzentrale möglich. Für den Benutzer sind die zugrunde liegenden Verbindungen vollkommen transparent: Es fühlt sich an, als wäre man direkt mit dem Netzwerk am Hauptstandort verbunden.

Für Außendienstmitarbeiter, Arbeiten zu Hause oder für den Zugriff aus Hotels haben wir zusätzlich die Möglichkeit implementiert, sich per VPN-Client zu verbinden und sicher auf sensible Daten zuzugreifen.

Um das Projekt umzusetzen, fiel die Wahl auf LANCOM VPN-Router (1781A) in den Niederlassungen, um den bisherigen Router in der Zentrale (1721+ VPN) zu ergänzen. Sämtliche Standorte verfügen über feste IP-Adresse und über ausreichend schnelle Internetverbindungen; die Zentrale ist redundant über VDSL und Kabel angebunden.

Nach der Vorkonfiguration der Router haben wir ein site-to-site VPN aufgebaut, welches mit modp-1024 verschlüsselt ist. Da die Niederlassungen nicht miteinander verbunden sein sollen, sondern nur sternförmig auf die Zentrale zugreifen, wurde die Option der kompletten Vernetzung nicht gewählt. Zudem wurden diverse Firewallregeln erstellt, so dass nur bestimmte Dienste (Webserver Intranet, Dateidienste, Terminaldienste, usw.) aus dem Netz der Niederlassungen genutzt werden können.

Abschließend zur Veranschaulichung eine Visio-Grafik:

Blog_2

[Projekt] Installation und Einrichtung virtuell getrennter Netzwerkhardware mit WLAN

Heute stellen wir Ihnen ein kürzlich abgeschlossenes Projekt vor. Die Anforderungen des Kunden an unsere Netzwerklösung war die komplette Einrichtung des Netzwerkes in einem Neubau. Hierbei war besonders wichtig, dass den Gästen ein Internetzugang sowohl über Kabel als auch drahtlos zur Verfügung steht. Zudem sollte das komplette Firmenareal inklusive Firmengebäude und Montagehalle abgedeckt werden (ca. 2000-2500 m²).

Wir empfahlen eine vollständige logische Trennung zwischen Büronetzwerk und Gastzugang, die über passende Hardware mit wenigen Geräten – somit kostengünstig und stromsparend – realisiert werden kann. Darüber hinaus stand die Verschlüsselung beider drahtlosen Netzwerke (WLAN) im Vordergrund.

Um diese Anforderungen umzusetzen, fiel die Wahl auf Netzwerkhardware aus dem Hause LANCOM. Wir setzten dabei folgende Komponenten ein:

  • LANCOM 831A Router
  • LANCOM GS 2326p PoE-fähiger Layer2 Switch
  • LANCOM L-321agn Access Points in hinreichender Anzahl nach WLAN-Messung des Areals

Wir haben zwei verschiedene virtuelle LANs (vLAN) definiert, zum einen ID 2 für das Büronetzwerk und zum anderen ID3 für die Gästezugriffe. Am Switch sind zwei Trunks zum Router eingerichtet, worüber am Router beide Netze per Schnittstellen-TAGs getrennt werden.

Weiter ist am Switch an einigen Ports PoE aktiv, um die Access Points mit Strom zu versorgen. Die Access Points hängen auch an Trunk-Ports und auf ihnen sind ebenfalls beide vLANs eingerichtet, um die Segmentierung an die WLAN-Endgeräte durchzureichen.

Zum Abschluss dieses Blogeintrages noch eine kleine Visio-Skizze, die den ganzen Aufbau verdeutlicht.

Zeichnung1

Bis zum nächsten Mal!