Systemadmins Überblick übers Netzwerk

edlomprul

Well-Known Member
Hallo!

Ich habe weder ausbildungsmäßig noch berufsmäßig viel mit IT zu tun. Deshalb nicht wundern über die Frage.

Nachdem ich inzwischen mehrere private Netzwerke aufbauen/pflegen muss und diese wiederum sehr in ihrer Größe gewachsen sind, frage ich mich, wie ein echter Admin bei so etwas den Überblick behält.

Auf Grund diverser Umstände sind oftmals Subnetze, VLANS und differenzierte Firewallregeln notwendig.

Weil das inzwischen so viele Sachen sind, habe ich angefangen das ganze in einer Tabellenkalkulation zu dokumentieren.
Das umfasst z.B. Geräteklasse, Gerätename, IP(s), physischer Standort (z.B. Straßenname), VLAN, welcher Port an welchem Switch, evtl. bestimmte Berechtigungen und Einschränkungen.
Wenn ich das Dokument nicht mehr hätte, wäre ich hoffnungslos überfordert und wüsste innerhalb kürzester Zeit nicht mehr, wo was ist und wer was darf.

Allerdings kommt mir das ganze gleichzeitig auch ziemlich unprofessionell vor. Ich hege immer die Vermutung, dass ein professioneller Admin das irgendwie anders löst und vielleicht bestimmte Tools zur Verfügung hat.

Stimmt das? Wie behält man z.B. den Überblick über ein Firmennetzwerk. Dorts wirds wohl oft auch nicht reichen, nen Router mit DHCP hinzustellen und keiner beschwehrt sich. Sonst würde es ja auch die ganzen Techniken nicht geben.

Bin ich der einzige, der so ein "Problem" hat?!?
 
Das ist sehr individuell. Denn es kommt auf die Umgebung an, wie viel man sich merken kann (ich kann mir z.B. wirklich jeden Mist praktisch ewig merken), ob die Informationen für andere Personen verständlich sein müssen und so weiter. Dazu kommt, dass die Dokumentation möglichst ausfallsicher sein soll. Also noch zugreifbar sein, wenn wirklich alles tot ist. Ich mach es so:
  • Das Netzwerk selbst ist in LibreOffice-Tabellen dokumentiert. Einmal tabellarisch, dazu noch einmal schematisch. Also welche Subnetze wo liegen und durch welche Switches und Router die einzelnen Segmente verbunden sind. Dazu die Verbindungen dazwischen, jeweils mit VLAN und Transfernetz.
  • Zu jedem Switch gibt es eine Übersicht, welcher Port in welches VLAN darf.
  • Ebenso zu jedem Router, welches Interface zu welchen Switchport führt. Dazu welche VLAN-Interfaces es gibt, wie die CARP-Verbünde aufgebaut sind und welche Routen gesetzt sein müssen.
Das alles kann man sich dann nochmal ausdrucken und klassisch auf Papier für den Fall der Fälle abheften. Alles weitere ist implizit oder am jeweiligen Ort dokumentiert. Zum Beispiel kann man schon am Hostnamen oder DNS-Eintrag erkennen, wo sich welcher Host im Netz befindet. Freigeschaltete Ports sind direkt in der Firewall-Konfiguration per Kommentare dokumentiert. Wenn man dieses Schema sauber durchzieht, ergibt sich eine auch für Außenstehende klar verständliche Doku.
 
Ich mach das ebenfalls per Tabellenkalkulation (LibreOffice), bin aber schon seit geraumer Zeit am hin- und herüberlegen, ob nicht ein Plaintext-Format (z. B. Sphinx, Asciidoc, DocBook, Dita oder LaTeX) in Verbindung mit Git die bessere Wahl wäre, schon allein um Änderungen nachvollziehen zu können. Bisher konnte ich mich aber angesichts des zu erwartenden Aufwands nicht dafür entscheiden, die Umstellung in Angriff zu nehmen (zumal nur LaTeX mit dem pstricks Paket effektiv erlaubt, einfache grafische Schema-Darstellungen direkt im Dokument zu pflegen).

Ansonsten sehe ich zu, dass meine Netze einigermaßen selbsterklärend sind - an jedem Gerät ist die IP-Adresse aufgeklebt, Ethernet-Ports sind beschriftet, Kabel ebenfalls (und farblich gruppiert, wobei der Code dann einem außenstehenden auch erst mal nicht hilft). Im Rack hängt in jedem Fall noch eine Liste mit der Portbelegung und ggf. VLANs für Switches und Patchboards; die kann man einfach nicht wirklich vernünftig beschriften.
 
Ich benutze eine DokuWiki-Installation auf einem ausserhalb des LANs gehosteten Server.
Es gibt für jeden Server und jede Komponente eine Seite, dort wird alles über das jeweilige Gerät festgehalten.
Es gibt auch Listen mit Usern und deren Zugriffsrechten, Screenshots von Firewalleinstellungen und ins Wiki hochgeladene Config-Dateien ...

Anfangs musste ich mich ein wenig dazu zwingen, wirklich jeden Sch... mitzudokumentieren, aber mittlerweile ist es so, dass bei Arbeitsbeginn als erstes eine separate Browserinstanz mit dem Wiki gestartet wird und es gibt nur selten Tage, an denen nicht irgendeine Wikiseite editiert wird ...

Gruss
Edgar
 
Das mit Dokuwiki halte ich auch für eine sehr praktikable Sache. Sofern man einen Internetzugang hat, dank Smartphone ja fast immer, kann man das schön editieren, auch wenn die Netzwerke an vielen Standorten sind. Es lassen sich auch Hierarchien recht gut abbilden.

Ansonsten gilt was die anderen sagen, auch die Geräte beschriften kann sehr viel bringen! Dann kann man auch mal jemanden vor Ort fragen, was drauf steht ;)
 
Privat habe ich alles in Sphinx (reStructuredText) und Dia gespeichert. Sphinx hat den Vorteil, dass ich daraus dann "html", "pdf", "epub" oder auch "man" Pages erstellen kann. Das ganze liegt in einem SVN Repo.
 
Alles wirklich gut beschriften, einheitliche Namen und dann gut strukturierte libre-calc dokumente inkl. passender Dateinamen und Ordnerstruktur.

Lizenzen und sonstige Tote-Baum-sachen in "klassischen" Hängeregisterschränken, sauber beschriftet.

Ein paar sachen auch ausgedruckt für den Super-Gau (Nichts geht mehr -> kein Zugriff auf die Netzlaufwerke e.t.c.)
 
am Thema "einheitliche Namen" scheitere ich immer wieder.
Wie benennt Ihr denn Eure Server und Eure Client-Rechner? Ich hab' zwar eine Liste mit den Namen/IP-Adressen/Rechnertypen usw. finde es aber immer wieder umständlich, das im Einzelfall zuzuorden.
Eine allgemeingültige Lösung gibt's da sicher nicht, aber vielleicht Beispiele?

Edgar
 
Wir nehmen bei Desktop-Rechnern die individuellen Devicenamen von der AS/400 Emulation die auf jedem Rechner eh fest vergeben werden muss - das ist wohl nicht überall praktikabel ;)

Bei Servern Betriebsystemgattung + Standortkurzform + aufsteigende nummer also hätten wir einen Standort in Dortmund wäre das z.B. linuxdortmund01 oder windortmund01
 
am Thema "einheitliche Namen" scheitere ich immer wieder.
Wir verwenden ein einheitliches Schema:
Code:
WIFI-CH-ZH-HQ-OG5-B1-SR1-01
SW-DE-MU-RZ1-OG5-B1-SR1-CORE1

WIFI = Access Point
SW = Switch

CH = Schweiz
DE = Deutschland

ZH = Zürich
MU = München

HQ = Headquarter
RZ1 = Rechenzentrum 1

OG5 = Obergeschoss 5
B1 = Büro1

SR1 = Server Rack 1

01 = Nummeriert von 01 bis X
CORE1 = Name

So findet man sich schnell zurecht und es hat sich hier in der Firma bewährt.

Gruss
 
Das mit der Dokuwiki darf dann aber auch nicht in falsche Hände fallen.

Ich persönlich mache es etwas banaler, da wir MS Office im Büro haben verwenden wir OneNote und die Datei ist auf einem Share abgelegt (Onenote erstellt zudem eine kopie auf dem pc und es können mehrere User an den Doc arbeiten).

Zudem werden die Sicherheit relevanten Daten im Keypass oder ähnliches gespeichert, die Shares sind verschlüsselt und die zugriffe sind eingeschränkt.

Es gibt aber auch ein paar freie Tools die dir helfen können, hat sich bei uns aber nicht durchgesetzt.

Viele Grüße

Jörg
 
Saltstack bietet die Möglichkeit der Invenatrisierung der Server die in Saltstack drin sind. Mein Favorit ist JDisc Discovery mit i-doit. Jdisk kann automatisch Server, Firewalls, Switche, Telefone, Clients usw inventarisieren. Das übergibt man dann an i-doit was dann die CMDB abbildet. Kostenlos geht das auch mit OCSInventoy mit i-doit. Allerdings mit OCSInventoy bekomme ich Magengeschwüre schon ab dem Halse. Aufgrund starker Bedenken bei der Security.
 
Finde euren Input sehr interessant! Danke!

Bin aber auch überrascht, dass so viele die Methode "Kalkulationstabelle" verwenden. Ich habe auch mal versucht, das ganze zeicherisch darzustellen, das sieht dann auf den ersten Blick ganz hübsch aus, aber für die meisten meiner Fälle ist das dann doch zu komplex. Außerdem kann ich mir eh fast alles merken bis auf die IP, welche sich trotz meistens statischer Variante ändert, was aber wiederum an mir liegt. :)
 
Zurück
Oben