Meerdere unifi netwerken in 1 gebouw

[Galileo]

We gaan een gezondheidscentrum opleveren en nu ben ik bezig met het netwerk plan. Er is een zorg specifieke verbinding (private network) en er is een algemene internet verbinding (Ziggo). De zorg verbinding is onderverdeeld in 4 IP reeksen voor verschillende zorg gebruikers, op het publieke internet draait wat gebouw gebonden zaken (lift/alarm/brand/klimaat) en een gasten netwerk/medewerker internet.

Er moeten in het gebouw ook A/P's worden geplaatst voor zowel het zorg netwerk als het algemene internet. In de simpele versie hang ik gewoon 2 volledig gescheiden unifi netwerken in de lucht waar niets gedeeld wordt. Layer2 switches, alleen de Ziggo heeft een router nodig, het zorg netwerk heeft een eigen router onder extern beheer. Het is alleen wel zonde van het feit dat we dan verschillende A/P's zo'n beetje naast elkaar moeten hangen. Nog afgezien van het feit dat het misschien ook wel interferentie oplevert.


Is het mogelijk om deze netwerken in elkaar te schuiven? Kan ik bijvoorbeeld volledig gescheiden netwerken bouwen op een cluster van switches waarbij ik praktisch gezien hetzelfde bereik, maar dat het op poort niveau gescheiden is ipv op fysieke hardware? En kan ik dan de WiFi zenders op beide netwerken actief zetten, waarbij WiFi Zorg naar het zorg netwerk gaat en Wifi Publiek naar het publieke netwerk?

• Zorg netwerk IP Reeks #1
• Zorg netwerk IP Reeks #2
• Zorg netwerk IP Reeks #3
• Zorg netwerk IP Reeks #4
• Publiek netwerk

 

[Davey400]

Die U6 pro's (of eigelijk: alle Unifi AP's) kunnen prima meerdere netwerken aanbieden met verschillende rechten/scheiding/IP-ranges.

 

[Eddie the Eagle]

Het wordt een heel ingewikkeld verhaal als je die 4 (zorg) + 1 (public) virtueel wilt gaan scheiden ipv fysiek zoals in jouw plaatje.

Zoals ik het lees ben je keihard gebonden aan die Cisco router. Als je daar vervolgens Unifi switches aan gaat hangen, dan heb je feitelijk geen interface meer (behalve CLI) om VLAN instellingen per poort in te stellen. Daarom wijk je nu waarschijnlijk uit naar fysieke scheiding, een switch per Zorg netwerk. Als je virtueel wilt scheiden, dan zou ik nooit Unifi switches nemen maar bv Cisco (of een ander merk) waarbij je een interface (GUI) per switch hebt om de poortinstellingen naar het juiste VLAN te zetten. In plaats van 4 (zorg) switches, heb je er dan misschien maar 1 nodig.

Als je dat ook nog virtueel wilt integreren met de UCG-Ultra, dan wordt het nog ingewikkelder. Met virtueel gescheiden SSID`s kan het dan (denk ik nu even) helemaal niet meer, dus je hebt dan inderdaad 2 AP`s naast elkaar hangen. Persoonlijk zou ik ook daar kijken naar de mogelijkheden van de Cisco router; wellicht heeft die meerdere WAN aansluitingen en kun je het Ziggo verkeer naar een apart (Public) VLAN leiden.

Op de AP`s worden dan alle SSID`s uitgezonden, maar ook die zou ik in dit geval waarschijnlijk niet van Unifi nemen.

 

[Hofstede]

Als je dit soort netwerken gaat combineren dan wordt dat ook beheerstechnisch een ramp. Denk bijvoorbeeld aan updates, wie is verantwoordelijk voor wat, wie lost problemen op, hoe garandeer je de veiligheid van je bedrijfsnetwerk?
Ik zou het zo nooit willen aanbieden.

 

[Galileo]

Ok, dat klinkt helder, fysiek gescheiden netwerken heeft de voorkeur begrijp ik.

Ga ik het toch nog even proberen; als ik 5 VLAN netwerken definieer, die allemaal op de verschillende switches en A/P inspeel, de DHCP van de zorg netwerken door de Cisco laat afhandelen (gebeurd nu ook) en de DHCP van het Ziggo netwerk door UCG-Ultra zou dit toch moeten werken? Of zie ik nou iets over het hoofd? De switches/AP's zouden dan adopted worden in de UCG-Ultra dus die zou het VLAN beheer op de switch doen.

In een ander gezondheidscentrum is het netwerk op die manier opgebouwd waarbij alle zorgaanbieders hun eigen VLAN/netwerk hebben en afhankelijk van welke internet provider ze gebruiken staat DHCP wel (algemene ISP) of niet (eigen ISP) aan. Die eigen netwerken delen hun eigen gateways uit en die pakken het dan intern gewoon verder op.

 

[Eddie the Eagle]

Ga ik het toch nog even proberen; als ik 5 VLAN netwerken definieer, die allemaal op de verschillende switches en A/P inspeel,

Wat bedoel je met inspelen ? Hoe ga je dat doen ? De scheiding van de 4 (zorg) netwerken gebeurt in de Cisco.

 

[edwin2019]

Let je wel op de nen7510 eisen?
Mixen van ISP op een netwerk zou ik alleen in overleg doen met zorg provider (ezorg?) en bij voorkeur met een echte Firewall tussen de publieke internet verbinding!

 

[Galileo]

Wat bedoel je met inspelen ? Hoe ga je dat doen ?

De switches en AP's worden ge-adopt door de UCG-Ultra (of een externe Cloud Key/controller), dan kan je met die controller toch de netwerken/VLAN's op de switch poorten zetten? Zo zie ik dat nu ook op een van de bestaande sites waarbij ik iets soortgelijks heb gemaakt.

En deze site heeft niet eens een router, deze heeft alleen de extern beheerde Cisco router. Deze site heeft alleen 'domme' netwerken/VLAN's, dus eigenlijk heb ik de 24 poorts switch nu gewoon een 16-poorts en 8-poorts switch van gesplitst.

Ik zal het wel fout zien, maar het werkt wel...

 

[Eddie the Eagle]

De switches en AP's worden ge-adopt door de UCG-Ultra (of een externe Cloud Key/controller), dan kan je met die controller toch de netwerken/VLAN's op de switch poorten zetten?

Maar je hebt in je plaatje een zwarte lijn getrokken tussen de Zorg en Public netwerken ivm fysieke scheiding dus de UCG-Ultra is niet verbonden met de Zorg switches, dus valt daar niks te adopteren.

En die VLAN toewijzing aan poorten is dan met een VLAN met 3rd party gateway ?

 

[Galileo]

Maar je hebt in je plaatje een zwarte lijn getrokken tussen de Zorg en Public netwerken ivm fysieke scheiding dus de UCG-Ultra is niet verbonden met de Zorg switches, dus valt daar niks te adopteren.

En die VLAN toewijzing aan poorten is dan met een VLAN met 3rd party gateway ?

Ah, ik snap wat je bedoelt, het plaatje dat ik schetste was de simpele fysiek gescheiden netwerken optie waar dubbele AP's ophangen de enige optie was. Dat is niet hoe het hybride netwerk eruit zou komen te zien.

In een hybride scenario zou je de switches wel degelijk koppelen aan de UCG-Ultra of ze extern laten adopten door een cloud controller. In feite wat ik probeer na te bouwen is een virtuele scheiding via VLAN's ipv een fysieke scheiding via aparte switches. En als er VLAN's zijn kunnen dezelfde AP's met verschillende SSID's ook verschillende netwerken ondersteunen.

Althans dat was mijn idee...

 

[Galileo]

Let je wel op de nen7510 eisen?
Mixen van ISP op een netwerk zou ik alleen in overleg doen met zorg provider en bij voorkeur met een echte Firewall tussen de publieke internet verbinding!

Ja dat ga ik navragen inderdaad, ik moet ook weten of VLAN tagging ondersteund wordt, als ik namelijk VLAN's ga bouwen dan moeten die bij de Cisco router wel aankomen. Dan zullen ze die Cisco poorten voor dat VLAN moeten taggen of trunking moeten toestaan.

Ik ben niet heel diep bekend met de NEN7510 eisen, ik probeer gewoon verschillende netwerken virtueel te scheiden in plaats van hard zodat ik daarna de AP's gecombineerd kan gebruiken. In feite kom je al niet op het firewall gedeelte uit toch? Je zit nog op layer2 ipv layer3 toch? Er kan in principe geen verkeer gerouteerd worden tussen de vlan's, althans dat is niet de bedoeling.

Het zorg netwerk moet gescheiden blijven van het ziggo netwerk, er worden geen routes gedefineerd, alleen de hardware wordt gecombineerd. Is dat een probleem voor NEN7510 eisen?

 

[Davey400]

Het zorg netwerk moet gescheiden blijven van het ziggo netwerk, er worden geen routes gedefineerd, alleen de hardware wordt gecombineerd. Is dat een probleem voor NEN7510 eisen?

Zolang je zorgt voor actieve monitoring (IDPS) en kunt garanderen en aantonen dat de volledige scheiding veilig is hoeft dat geen probleem te zijn.
Uiteraard wordt de omgeving geauditeerd om dat te dekken.

 

[Hofstede]

Waarom laat je de Ziggo verbinding niet gewoon ook via de Cisco router binnenkomen op een apart VLAN? Dan is alles transparant. En dan de Unifi hardware met een eenvoudige controller zonder router beheren.

 

[Davey400]

Waarom laat je de Ziggo verbinding niet gewoon ook via de Cisco router binnenkomen op een apart VLAN? Dan is alles transparant. En dan de Unifi hardware met een eenvoudige controller zonder router beheren.

Of zelfs met het zelfde (instap-consumenten) device, maar alleen de LAN-kant gebruiken.

 

[edwin2019]

De switches en AP's worden ge-adopt door de UCG-Ultra (of een externe Cloud Key/controller), dan kan je met die controller toch de netwerken/VLAN's op de switch poorten zetten? Zo zie ik dat nu ook op een van de bestaande sites waarbij ik iets soortgelijks heb gemaakt.

En deze site heeft niet eens een router, deze heeft alleen de extern beheerde Cisco router. Deze site heeft alleen 'domme' netwerken/VLAN's, dus eigenlijk heb ik de 24 poorts switch nu gewoon een 16-poorts en 8-poorts switch van gesplitst.

Ik zal het wel fout zien, maar het werkt wel...

Bekijk bijlage 9596

Maar zeker niet conform de NEN7510 die binnen de zorg gevolgd zou moeten worden. Technische oplossing valt niet onder een "goed beheerd zorgnetwerk" Bij datalek kun je aansprakelijk worden gesteld en een audit gaat zeker niet goed.

 

[edwin2019]

Waarom laat je de Ziggo verbinding niet gewoon ook via de Cisco router binnenkomen op een apart VLAN? Dan is alles transparant. En dan de Unifi hardware met een eenvoudige controller zonder router beheren.

Dat is een oplossing maar de zorg ISP staat daar vaak niet om te springen. Ligt beetje eraan hoe goed de band is met de zorg ISP of je dit geregeld krijgt.

 

[Galileo]

Zolang je zorgt voor actieve monitoring (IDPS) en kunt garanderen en aantonen dat de volledige scheiding veilig is hoeft dat geen probleem te zijn.
Uiteraard wordt de omgeving geauditeerd om dat te dekken.

Hoi Davey, dat zou dan op de Unifi/Ziggo verbinding zijn op het aparte vlan neem ik aan? Want het zorg netwerk is onder extern beheer, daar kan je toch geen layer3 monitoring op zetten als je alleen switches/APs hebt?

Waarom laat je de Ziggo verbinding niet gewoon ook via de Cisco router binnenkomen op een apart VLAN? Dan is alles transparant. En dan de Unifi hardware met een eenvoudige controller zonder router beheren.

Ik denk niet dat de zorg beheerder daar aan mee wil werken, maar ik denk ook eerlijk gezegd niet dat dat nodig is.

Maar zeker niet conform de NEN7510 die binnen de zorg gevolgd zou moeten worden. Technische oplossing valt niet onder een "goed beheerd zorgnetwerk" Bij datalek kun je aansprakelijk worden gesteld en een audit gaat zeker niet goed.

Interessant, Davey denkt dus dat het wel mag. Waarom zou het niet NEN7510 compliant zijn? Nogmaals; er zijn geen routeringen mogelijk tussen het Ziggo net werk en het zorg netwerk. Het is een vlan scheiding op layer2.

 

[Davey400]

Interessant, Davey denkt dus dat het wel mag. Waarom zou het niet NEN7510 compliant zijn? Nogmaals; er zijn geen routeringen mogelijk tussen het Ziggo net werk en het zorg netwerk. Het is een vlan scheiding op layer2.

Hoho, ik zeg niet zomaar dat het wel mag. Ik zeg dat het eventueel kan, mits het aan alle gestelde eisen voldoet.
Ik heb je vanmorgen ook proberen te waarschuwen om niet te gaan knutselen. Omdat ik je niet publiek wilde afvallen deed ik dat initieel via een PM.
Daarbij ook aangegeven om een audit uit te laten voeren:

 

[Galileo]

Hoho, ik zeg niet zomaar dat het wel mag. Ik zeg dat het eventueel kan, mits het aan alle gestelde eisen voldoet.

Yep uiteraard. Dit moet ook volledig transparant, als het niet mag, dan mag het niet en blijven de netwerken fysiek gescheiden. Ik vroeg me gewoon af waarom Edwin denkt dat het per definitie niet mag.

Ik laat het auditen, ik laat het netwerk plan controleren, ik voel me verder ook niet aangevallen, ik weet dat ik geen netwerk expert ben maar een professionele hobby'ist, dus ik probeer gewoon zelf oplossingen te bedenken en die dan te toetsen. Maar klakkeloos ervan uit gaan dat het niet compliant zou zijn ben ik ook weer niet zo van, dan moet iemand me dat toch even uitleggen.

En laten we wel wezen, dit is toch gewoon mooi om te doen, een simpel AP ophangen kan iedereen, dit is toch het leukere werk?!

 

[edwin2019]

Hoi Davey, dat zou dan op de Unifi/Ziggo verbinding zijn op het aparte vlan neem ik aan? Want het zorg netwerk is onder extern beheer, daar kan je toch geen layer3 monitoring op zetten als je alleen switches/APs hebt?



Ik denk niet dat de zorg beheerder daar aan mee wil werken, maar ik denk ook eerlijk gezegd niet dat dat nodig is.

Interessant, Davey denkt dus dat het wel mag. Waarom zou het niet NEN7510 compliant zijn? Nogmaals; er zijn geen routeringen mogelijk tussen het Ziggo net werk en het zorg netwerk. Het is een vlan scheiding op layer2.

Tja, een foutje met patchen en je ben de sigaar. Combineren van isp op een netwerk in de zorg deed ik iets van 25 jaar geleden ook omdat de zorg ISP verschrikkelijk traag was maar anno 2024 kan ik alleen maar zeggen niet doen tenzij er een fatsoenlijk firewall (fortinet oid) tussen zit én het in overleg met de zorg ISP gebeurd meer zeg ik er niet over.