Netzwerk-Segmentierung & VLAN-Migration
Ablösung einer flachen 192.168.178.0/24 Struktur durch ein sicherheitsorientiertes Multi-VLAN-Konzept.
Ausgangssituation
Die ursprüngliche Umgebung basierte auf einem Standard-Netzbereich (192.168.178.0/24). Da alle Geräte – von kritischen Produktionsmaschinen bis hin zu Gäste-WLAN-Teilnehmern – in einer einzigen Broadcast-Domäne kommunizierten, war keine granulare Sicherheitssteuerung (Firewalling zwischen Abteilungen) möglich. Zudem kam es bei VPN-Einwahlen häufig zu IP-Adressüberschneidungen mit den privaten Heimnetzen der Mitarbeiter.
Neue Netzwerk-Architektur
Das neue Konzept sieht eine strikte Trennung vor. Das Gateway ist in jedem Netz die .1. Zur Vermeidung von VPN-Kollisionen wurde ein Mix aus Class-A und Class-B Netzen gewählt.
Visualisierung der VLAN-Struktur
Detaillierter IP-Adressplan
| VLAN / Bereich | Netzbereich | Beschreibung / Zweck |
|---|---|---|
| Netzwerk-Management | 10.8.0.0/24 | Management von Switches, Access Points und USVs. |
| Server | 10.8.5.0/24 | Zentralisierte Serverdienste und Datenbanken. |
| Produktion (Neu) | 10.8.10.0/24 | Moderne Produktionsanlagen und Steuerung. |
| Produktion (WLAN) | 10.8.11.0/24 | Mobile Terminals und Handscanner im Lager. |
| Verwaltung | 10.8.20.0/24 | Büro-Arbeitsplätze inkl. SSID-Verwaltung. |
| Druckersysteme | 10.8.100.0/24 | Isoliertes Netz für Drucker zur Reduktion von Traffic-Noise. |
| Besprechung | 172.22.200.0/24 | Gast-Netz (Class B) zur Vermeidung von VPN-Problemen. |
| GF (Geschäftsführung) | 172.22.250.0/24 | Privat-WLAN für mobile Endgeräte der Führungsebene. |
| Produktion (Alt / Legacy) | 192.168.178.0/24 | Bestandsschutz für Maschinen mit statischer IP. |
Strategische Implementierung
Vermeidung von VPN-Kollisionen
Durch die Wahl des 10.er Netzes (Class A) für interne Netze werden Überschneidungen mit privaten Standard-Netzen (oft 192.168.0.x oder 178.x) verhindert.
Gäste-Isolierung (Class B)
Für externe Besucher wurden 172.er Netze implementiert, um Routing-Konflikte im lokalen WLAN zu provozieren.
Umgang mit Legacy-Systemen
Das alte 192.168.178.0/24 Netz dient als Übergangslösung für Maschinen mit fest programmierten IP-Adressen.
Ergebnis
Durch die Segmentierung wurde die Netzwerk-Sicherheit signifikant erhöht und die Broadcast-Last reduziert.