Nettverksløsning med to subbnett (LAN og DMZ)
Figur 8 – Figuren viser den prinsipielle løsning for et to subbnett nettverk. Ruter konfigureres med to separate nettverk, Lan for SBS 2008 og DMZ for virtuell host og Admin PC. Virtuell host og admin pc isoleres fra SBS 2008 nettverket.
I dette tilfellet trenger man en ruter som kan konfigureres med flere nettverk og brannmur mellom nettverkene. I noen tilfeller benyttes v-lan til samme formål. Brannmuren konfigureres med to nettverk. I denne artikkelen benevnes disse Lan (ruter) og DMZ. I ruters Lan slås DHCP av, og ruter Lan gis en fast ip. I DMZ konfigureres det DHCP server i et annet subbnett en ruter Lan. Et nettverkskort i virtuell host reserveres for administrasjon, det gis fast ip i DMZ og kobles til ruter. Det samme gjør vi med fjernhjelpskortet (eg DRAC/ILO). Det andre nettverskortet i virtuell host kobles til ruter Lan, og det opprettes en virtuell svitsj som knyttes til dette nettverskortet. Fysisk sett forbindes det fysiske nettverskortet til ruter Lan. Nettverskortene inne i de virtuelle maskinene gis fast ipadresse i ruter Lan subbnettet. Når det gjelder kommunikasjon mellom Lan og DMZ, så sperres dette med brannmur i ruter, og det åpnes kun for RDP (TCP/IP 3389) kommunikasjon.
Sjekk også avsnittet om som forkarer virtuelle nettverk.
Eksempel på ipadresseplan for to subbnett
Tabell 12 – Oppsett av Ruter
|
Komponent
|
Ipadresser
|
Kommentar
|
|
Wan i ruter / brannmur
|
Fast ipadresse
ISP DNS (1): 130.67.15.198
ISP DNS (2): 193.213.112.4
|
En internett linje av type xDSL med fast eller dynamisk ipadresse. Fra ISP (Internett Service Provider) har vi fått opplyst ipadressen til ISPs DNS servere for internettoppløsning.
|
|
Lan i ruter / brannmur
|
Fast ipadresse: 192.168.1.1
|
Ruteren konfigureres med en fast ipadresse i Lan. Ruterens Lan ipadresse blir default gateway for nettverskortene i Lan.
|
|
DHCP server
|
DHCP server i ruter er slått av.
|
Det er god praksis å plassere DHCP server på SBS 2008, derfor slås DHCP server av i ruter / brannmur i Lan.
|
|
Wan til Lan (protforwarding)
|
25 – SMTP, 443 HTTPS, 987 RWW og 1723 PPtP VPN
|
TCP/IP trafikk på disse porter forwardes fra ruter til ipadressen til SBS 2008.
|
|
DMZ i ruter / brannmur
|
Fast ipadresse: 192.168.0.1
|
Ruteren konfigureres med en fast ipadresse i DMZ. Ruterens DMZ ipadresse blir default gateway for nettverskortene i DMZ.
|
|
DHCP server
|
DHCP server slås på med scope 192.168.0.33 – 192.168.0.254
|
DHCP i ruter slås på og konfigureres. Denne DHCP server vil konfigurere computere i DMZ som ikke har fast ipadresse.
|
|
Wan til DMZ
|
Åpne brannmur for VPN
|
Trafikk via ruter til ruter VPN tillates fra Wan til DMZ.
|
|
Lan til DMZ
|
Åpne for RDP Tcp/IP 3389
|
Åpne for remote administration med RDP slik at logon kan gjøres fra Lan til DMZ.
|
|
DMZ til Lan
|
Åpne for RDP Tcp/IP 3389
|
Åpne for remote administration med RDP slik at logon kan gjøres fra DMZ til Lan.
|
Tabell 13 – Oppsett av SBS 2008 (første server)
|
Komponent
|
IP adresser
|
Kommentar
|
|
Operativsystem
|
Windows 2008 for Small Business Server
|
Dette er den første server SBS 2008.
|
|
SBS 2008 nettverkskortet
|
Fast ipadresse: 192.168.1.2
Subbnett maske: 255.255.255.0
Standard Gateway: 192.168.1.1
DNS: 192.168.1.2
|
SBS 2008 støtter subbnett innenfor følgende intervaller:
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
|
|
DHCP server
|
DHCP scope:
192.168.1.1 – 192.168.1.254
|
DHCP server plasseres på SBS 2008.
|
|
Reserverte adresser
|
192.168.1.1 til 192.168.1.10
|
Pr default reserverer SBS 2008 de første 10 adresser til devicer som trenger fast ipadresse. Denne reservering kan med fordel utvides manuelt. . Gjør dette umiddelbart etter installasjon.
|
|
DNS Forwarders
|
ISP DNS (1): 130.67.15.198
ISP DNS (2): 193.213.112.4
|
Pr default benytter SBS 2008 rot hints. Forwarders må registreres manuelt i DNS server på SBS 2008, og ikke på nettverskortet.
|
Tabell 14 – Oppsett av W2K3/8 (andre server)
|
Komponent
|
IP adresser
|
Kommentar
|
|
Operativsystem
|
W2K8
|
Andre server som følger med SBS 2008 Premium.
|
|
SBS 2008 nettverkskortet
|
Fast ipadresse: 192.168.1.3
Subbnett maske: 255.255.255.0
Standard Gateway: 192.168.1.1
DNS server: 192.168.1.2
|
Premium server planlegges med fast ipadresse. Standard gateway skal peke til ruterens ipadresse i Lan. DNS server skal peke til SBS 2008s (første server) ipadresse.
|
Tabell 15 – Oppsett av W2K8 RTM eller R2
|
Komponent
|
IP adresser
|
Kommentar
|
|
Operativsystem
|
W2K8 x64 St.RTM
W2K8 x64St. R2
|
Fordel om W2K8 R2 benyttes. Den har Hyper-V 2.0. Windows 2008 Hyper-V server R2 er gratis, men det er Server Core.
|
|
Arbeidsgruppe
|
HYPER_V
|
W2K8 skal ikke være medlem av SBS 2008 domenet. Serveren konfigureres som medlem i arbeidsgruppen Hyper-V.
|
|
Nettverskort (1)
|
Fast ipadresse: 192.168.0.2
Subbnett maske: 255.255.255.0
Standard Gateway: 192.168.0.1
DNS server: 192.168.0.1
ISP DNS (1): 130.67.15.198
ISP DNS (2): 193.213.112.4
|
Dette nettverskortet er dedikert til kommunikasjon / administrasjon av virtuell host. Nettverskortet konfigureres med fast ipadresse i DMZ. Når det gjelder DNS servere så kan ruters ip benyttes. Deretter registreres ISP DNS servere for å gi virtuell host tilgang til internett.. På den måten kan internett nås for oppdatering av klokke, antivirus definisjoner og MS Update.
|
|
Nettverskort (2)
|
Ingen ipadresse
|
Dette nettverskortet benyttes av et den virtuelle svitsj som knyttes til det fysiske nettverskortet. Til den virtuelle svitsjen knyttes de virtuelle maskiners nettverskort.
|
Remote administration losing for to subbnett
Figur 9 – Remote management i DMZ.
Vi har to (2) nettverk Lan og DMZ. I Lan finner vi de virtuelle maskiner, mens vi i DMZ finner nettverkskortet for virtuell host og eventuelt fjernhjelpskort (DRAC / ILO). Alle devicer har nettverksadresser (IPer) i ruters DMZ. For å nå virtuell host og fjernhjelpskortet, kan man sette opp ruter til ruter VPN, PC til ruter VPN eller benytte SSL logon på ruter. Når man er på innsiden kan virtuell host administreres med Tilkobling til eksternt skrivebord. For å nå fjernhjepskortet benyttes Internett Explorer og fjernhjelpskortets ipadresse.
Smertepunkter å passe på:
· Når VPN planlegges brukt på SBS 2008 så må subbnettene i hver ende være forskjellige.
· Dersom ruter til ruter VPN eller PC til ruter VPN, så må subbnettene i hver ende være forskjellige.
· Dersom SSL pålogging planlegges til ruter, benytter denne vanligvis port 443. Port 443 vil normalt være forwardet til SBS 2008 for å kunne nå TS Gateway, Remote Web Workplace og lignende. En må derfor sjekke om ruter kan benytte annen port. |