Schul DC Anzahl der Netzwerkkarten

german

#1

Hallo,

wir planen derzeit in unserer Schule die Netzwerkstruktur neu zu gestalten. Leider habe ich über meine Frage in den entsprechenden Dokumentationen, in der SDB und im Wiki nichts passendes gefunden. Deswegen suche ich über das Forum Rat.
Wir betreiben das Netzwerk mit einem seperatem Master DC und in den Schulen stehen die Schul DCs.
Jetzt stellt sich uns die Frage, ob wir in die Schul DCs eine oder zwei Netzwerkkarten “einbauen” sollen (es werden virtuelle Server).
Es gibt zwei Variationen und wir würden gerne wissen welches Szenario von Univention empfohlen wird.

  1. Variante (eine Netzwerkkarte): Der Schul DC steckt mit seiner Netzwerkkarte am gleichen Switch wie die Clients. Die genutzte Firewall/Router ins Internet blockt jedoch alle Clients und erlaubt nur dem Server die Verbindung nach außen. Eine “direkte” Kabelverbindung der Clients zum Router besteht jedoch (über den Switch), aber sie müssen den Weg über den WebProxy auf dem Schul DC gehen.

  2. Variante (zwei Netzwerkkarten): Der Schul DC besitzt zwei Netzwerkkarten. An der einen Netzwerkkarte sind alle “internen” Clients “angeschlossen”, an der anderen besteht eine direkte Verbindung zum Router. Somit besteht keine direkte Kabelverbindung der Clients zum Router und die Clients werden aufgrund der Verkabelung dazu gezwungen den Weg über den WebProxy im Schul DC zu gehen. Jedoch ist die Konfiguration komplexer und nicht strikt nach Handbuch.

Auf den ersten Blick wirkt die Variante 2 sicherer und kontrollierbarer, aber ich finde keinen Grund, das Variante 1 weniger sicher sein sollte.
Fraglich ist, wie dann der Schul DC konfiguriert werden müsste. Wir würden gerne alle Bastellösungen vermeiden und strikt “nach Handbuch” vorgehen wollen. Dort finde ich aber keinen Hinweis auf das Problem und sehe eher einen Konflikt mit der Variante 2.

Liebe Grüße, GPrade


#2

Hallo,

beide Varianten sollten mit Boardmitteln umgesetzt werden können. Welche Sie wählen ist letztendlich wohl von den Anforderungen in Ihrem Projekt abhängig.
Ohne das konkret geprüft zu haben denke ich persönlich, dass ein Großteil der Schulen einen Aufbau wie in Variante 1 verwendet, zu Variante 2 finden Sie z.B. im Thread UCS c’t Edition mit 2 Netzwerkkarten weitere Hinweise.

Mit freundlichen Grüßen
Janis Meybohm


#3

Hallo Herr Meybohm,

wäre das zitierte Verfahren mit IPv4 Forwarding “upgradebar” auf eine kommende Version von UCS?
Wenn wir jetzt jeden Server unserer Schulen wie beschrieben einrichten, müssten wir sicher sein, das bei einem Upgrade auf eine kommenden Version von UCS@school uns das nicht zur Falle wird. Bei einem “nackten” Debian würde ich das erwarten, aber wie ist das mit UCS?

Liebe Grüße, Gerhard Prade


#4

Hallo,

solange Sie die Konfiguration mit UCS Boardmitteln wie UCR und der Univention Firewall abbilden, bleiben sie bei Updates natürlich erhalten. Manuelle Anpassungen an bestehenden Init-Scripten o.ä. könnten ggf. überschrieben werden.

Mit freundlichen Grüßen
Janis Meybohm