Die meisten Netzwerke in den Unternehmen sind historisch gewachsen. Ein einheitliches Netzdesign ist Fehlanzeige. Im Fall von Performanceengpässen oder Netzwerkfehlern ein Troubleshooting extrem aufwändig. Die nachfolgenden Tipps & Tricks, sollen helfen das Netzwerkdesign zu optimieren und Spezifikas zu berücksichtigen. Dazu sollte das allgemeine Netzdesign geklärt und das spezifische Netzwerkdesign dokumentiert sein. In der Konfigurationsphase gilt es dann die folgenden Punkte systematisch abzuarbeiten: DHCP, Routing, VLANs, Spanning-Tree, Passworte, Backups/Aktualisierungen, Zugriffslisten, Schnittstellenbeschreibungen, Zeitserver, Authentifizierungsdaten, Telnet/SSH, Web-Interface, Sys-Logging und SNMP.
Dynamic-Host-Configuration-Protocol (DHCP)
Wenn der betreffende Switch DHCP unterstützt, aktiviere ich immer DHCP für die Installation, da die Netzwerkverbindung zum produktiven DHCP-Server möglicherweise nicht zur Verfügung steht. In einigen Fällen konfiguriere ich auch ein VLAN mit DHCP, das nur den Zugriff auf ein bestimmtes Netzwerk oder bestimmte Geräte erlaubt. Dadurch fragt das Gerät nicht immer automatisch und es werden auch alle Probleme, die durch doppelte IP-Adresse verursacht werden, vermieden.
Routing
Verfügt der Switch über Routing-Funktionen, ist es wichtig, das richtige Standard-Gateway zu konfigurieren bzw. es müssen die spezifischen Routing-Protokolle aktiviert werden. Bei Szenarien, in denen zwei oder mehr Standardrouten bestehen können, ist auf die spezifischen Details der jeweiligen Hersteller zu achten. Jeder Hersteller behandelt diese Anwendungsfälle unterschiedlich. Einige Hersteller nutzen solche Konfigurationen als Round-Robin-Mechanismus zur Erreichung der Ziel-IP-Adresse, oder nutzen die Standardrouten als Failover oder zum Loadbalancing.
VLANS
Normalerweise verfügen wir im Netzwerk über folgende zwei VLANs: Admin und Clients. In einigen Fällen kommt noch ein drittes VLAN hinzu: VOIP. Daher ist es besonders wichtig, möglichst viele Details der zu nutzenden VLANs im Voraus für das richtige IP-Subnetting-Design herauszufinden. In den meisten Fällen werden nur zusammenhängende IP-Subnetze genutzt. Die Konfiguration des VLAN-Taggings fällt ebenfalls in diesen Bereich.
Spanning-Tree
Spanning-Tree, Rapid-Spanning-Tree oder einer der vielen anderen Namen, die diese Protokollfunktionen abdecken, sind in der Praxis immer noch von enormer Bedeutung. Dazu gehören auch spezifische Elemente wie das BPDU-Blocking und die manuelle Konfiguration von Prioritätswerten. In einigen speziellen Fällen muss auch der Spanning-Tree deaktiviert werden. Hierzu sollte man sich jedoch mit den Netzplanern eng abstimmen.
Passworte
Die Namenskonventionen für die Passworte müssen herausgefunden werden. Auch sollte man wissen, wie oft sich die Passworte ändern und ob Authentifizierungsserver wie beispielsweise Radius, TACAS+ einbezogen werden müssen. Auch sollte im Geräte-Manual nachgelesen werden, ob das betreffende Gerät einige erweiterte Funktionen (beispielsweise Sperren der Konten bzw. Alarmierung bei mehrfachem falschen Login) unterstützt.
Sicherungen/Updates
Ich behalte während der Installation immer die Basiskonfiguration auf dem Gerät bzw. auf einen USB-Stick, falls ich zur ursprünglichen Konfiguration zurückkehren muss. Auch muss man sich überlegen, wie oft die Gerätekonfigurationen gesichert werden sollen. Es gibt viele Optionen, von der manuellen Sicherung von Konfigurationen über Skripte bis hin zu speziellen Anwendungen, die bei jeder Änderung automatisch ein Backup erstellen. Außerdem sollte man nicht vergessen, die Firmware, das Betriebssystem und die Gerätesoftware zu sichern. Auch kann es durchaus vorkommen, dass für ein Gerät ein neues Update bereitsteht, obwohl dieses gerade eine neue Software erhalten hat.
Zugriffslisten oder Filter
Mit den Access-Listen wird der Zugriff auf das Gerät protokolliert. Der Gerätezugriff beschreibt die Art und Weise, wie man sich mit dem Gerät über physikalische Schnittstellen (Ethernet, USB- und serielle Ports) verbinden. Ich rate immer davon ab, physische Ports ohne Passwörter zuzulassen, es sei denn, der Kunde oder die Anwendung erfordert dies ausdrücklich. Verfügt das Gerät über verschiedene „Zugriffsebenen“, sollten die jeweiligen Zugriffsebenen nicht mit dem gleichen Passwort geschützt werden. Müssen mehrere Benutzerkonten erstellt werden, sollten diese den Jobfunktionen oder Abteilungen (beispielsweise WAN, WLAN, Voice, usw.) zugeordnet werden.
Man muss sich auch noch über die andere Zugriffsformen (HTTP/HTTPS, Telnet/SSH, APIs und herstellerspezifische Anwendungen/Protokolle) eingehend Gedanken machen. Meist erfolgt ein solcher Zugriff über bestimmte Protokolle, IP-Adressen oder IP-Subnetze. Abhängig vom jeweiligen Produkt kann dies Elemente wie beispielsweise Telnet, SNMP, RMON, Netflow, HTTP/HTTPS und andere umfassen. In der Praxis hat es sich bewährt , während der Installation von neuen Geräten, diese zu überwachen und sicherzustellen, dass alles in Ordnung ist. In diesen Fällen kann beispielsweise das Simple-Network-Management-Protocol (SNMP) für eine Weile aktiviert werden, bis das Gerät in das unternehmensweite Überwachungssystem integriert ist.
Beschreibungen der Schnittstellen
Ich kann nicht genug betonen, wie wichtig die ausführliche Beschreibungen von allen Geräten im Netzwerk ist. Geräte wie Switches, Router und Firewalls können an schlecht zugänglichen Orten im Unternehmen oder in einer Niederlassung installiert sein. Wenn man weiß, um welches Produkt es sich handelt und welche Funktionen in diesem Produkt aktiviert wurden, dann beschleunigt sich die Fehlersuche. Wir sollten uns nicht auf die bereitgestellten Discovery-Protokolle der jeweiligen Geräte verlassen, da diese möglicherweise nicht mit allen Geräten im Netzwerk kompatibel sind und man nie weiß, wer welche Informationen versendet. In bestimmten Szenarien deaktiviere ich die Discovery-Protokolle von nicht vertrauenswürdigen Quellen oder von Ports an öffentlichen Netzwerken, da viele wichtige Informationen im Klartext ausgesendet werden.
Syslogs, Zeitserver und SNMP
Dies gilt auch für andere Überwachungsprotokolle wie Netflow, RMON und ähnliche. Man muss wissen, welche Adressen und Informationen diese Geräte in ihrer jeweiligen Umgebung propagieren und muss sicherzustellen, dass die relevanten Protokolle auch korrekt funktionieren.
Fazit
Alle die besprochenen Aspekte sollten bei Support- und Konfigurationsänderungen eingehend kontrolliert und überprüft werden.
