Forum: Offtopic Buchempfehlung: Design moderner Netzwerke?

Frank E. schrieb:
> Mir geht es um Konzepte für den strukturellen Aufbau, z.B. wie viele
> Router, optimale Segmentgröße, wo und wie viele Firewalls (oder ACLs auf
> Router-Interfaces?), ausfallsichere Internetanbindung, Einbindung von
> Filialen, sinnvolle Anwendung von VLANs usw.

Kein Buch wird dir sagen können ob du eine FritzBox oder einen dicken
12 * 10gbCisco benötigst und welche Verbindungen über eine Firewall 
müssen.
Mehr als „so groß wie nötig und so klein wie möglich“ wird du auch
nicht erfahren bei fragen zu Segmentgröße und wenn dann gibt
es mindestens für alles ein Beispiel aus der Praxis um genau das zu 
widerlegen.

Ich weis sowas wurde in den „80™“ gerne mal verkauft für teures Geld
ohne wirkliche infomationen (Als BWL Affine und Technik Fremde Manager 
sich
Versuchten zu Infomieren) Das ist aber quasi alles Schnee von gestern.

Was ich sagen möchte das jeder und alles heute Netzwerke macht und will
(vom Kinderzimmer MP3 Player bis GlobalPlayer mit tausenden Standorten)
und die Möglichkeiten und Anforderungen sind alle nicht über einen Kamm 
zu scheren sondern sollten und müssen individuell betrachtet werden weil 
du
sonst entweder Arm wirst oder unzufrieden bist (oder beides!)

Nehmen als Beispiel deine Filialen Anbindung:
VPN über DSL oder SDLS, MPLS, ethernet connect mit Virtuellen Switch 
beim Carrier (fertiger L2 Port nach überall), eigne Dark fiber,
ALLES wahlweise alles mit zusätzlichen VPN, VLAN, Qos für Voip
und doppelter Firewall mit DMZ und ko. ANGEDENGELT an ein VPC
 eines virtuelles Rechenzentrum (Cloud). Oder doch direkt zu onPremisse
server im eignen RZ, kleiner „Klamotten" der quasi nur WarenWirtschaft 
und Kasse brauchst oder 1900 Mitarbeiter Anbindung mit Realtime 
Anbindung ans Produktions system.


Das einzige was ein buch da sagen wird wenn es seriös ist:
Bedarf ermitteln, Möglichkeiten ausloten, abwägen und Handeln.

Denn z.B eine MPLS Planung nützt nichts dir jeder carrier sagt
klar in 5 jähren buddeln wird dir die Leitung dahin villeicht
must uns aber vorher noch 1trillion in den rächen werfen damit
für zu planen beginnen...

Das ist doch bei jedem Thema das Gleiche. Solche Infos, die hier 
gewünscht werden, nennt man WISSEN oder KÖNNEN. So was erwächst aus 
ERFAHRUNG.

Egal ob IT-Netze planen, Controller programmieren oder ein Hochhaus 
bauen. Man wird keine vollständige Anleitung, mit allem Wissen, in einem 
Buch finden.
Wenn das so wäre, bräuchten wir keine Schule und keine Ausbildung und 
keine Unis mehr und keine Spezialisten. Sondern jeder liest ein Buch und 
weiß alles. So läuft das leider nicht.

Literatur darüber wäre schon gut, auch wenn sie natürlich nicht die 
Erfahrung ersetzt. Allerdings ist die Welt gerade mal wieder schwer im 
Umbruch, mit allerhand inneren Widersprüchen gesegnet.

Einerseits zeigt der Blick auf die reale Welt die Notwendigkeit, eine 
gewisse Unabhängigkeit der eigenen IT zu pflegen, andererseits geht der 
Trend seit Jahren in Richtung totaler Abhängigkeit. Die Ereignisse der 
letzten Monate haben hierzulande an diesem Trend nichts geändert.

Diesen Spagat kriegt kein Buch hin, und eine Forendiskussion darüber 
lässt bald sämtliche "Politik" Alarmglocken Sturm klingeln.

Cyblord -. schrieb:
> Das ist doch bei jedem Thema das Gleiche. Solche Infos, die hier
> gewünscht werden, nennt man WISSEN oder KÖNNEN. So was erwächst aus
> ERFAHRUNG.

Naja, man kann auch von einem Extrem ins andere verfallen. Interpretiere 
ich deine Antwort rein den Buchstaben nach, brauchen wir auch keine 
Bücher, sondern jeder erfindet für sich alles immer wieder neu.

Ich bin sicher, so hast du das nicht gemeint, könnte man aber 
unterstellen. Das Erfahrungen nötig sind, zieht doch niemand in Zweifel 
...

Cyblord -. schrieb:
> Wenn das so wäre, bräuchten wir keine Schule und keine Ausbildung und
> keine Unis mehr und keine Spezialisten. Sondern jeder liest ein Buch und
> weiß alles. So läuft das leider nicht.

Weshalb jede Berufslaufbahn aus vielen Komponenten besteht. Aus 
Lehrbüchern und Lehrveranstaltungen, von Berufsschule bis Uni. Aus 
Praxis in realen und selten der Theorie folgenden Einrichtungen, ob 
währenddessen oder danach. Und aus jahrelanger Erfahrung in diesem Job. 
Man braucht schlicht alles davon. Und vorzugsweise im Team aus 
verschiedenen Generationen.

Ein großes Problem: Vor lauter Marketing-Geblubber kann man kaum die 
Technik dahinter und die realen Vor- und Nachteile erkennen.

Beispiel (gerade angefangen zu recherchieren): Alternativen zu VPN. Der 
neueste Schrei: "zero trustet network". Weil: VPN ist ja so teuer, so 
kompliziert und so unzuverlässig.

Mag sein, ganz simpel ist es nicht und der Verwaltungsaufwand durch den 
Admin bei einer größeren Anzahl von Teilnehmern (siehe Home-Office) ist 
schon nicht ganz ohne. Inklusive der Unbedarftheit mancher User.

Der erste Anbieter, auf den ich gestossen bin nennt sich "Twingate". 
Aber: Alles Cloud, Cloud, Cloud und der Gipfel: Anmeldung nur über 
Facebook oder Google-Mail, keine "eigene" Mailadresse. Sehr 
vertrauenswürdig, abgehakt.

Und der Dienst kostet natürlich extra für jeden Teilnehemer, Monat für 
Monat. Es gibt noch eine Handvoll ähnlicher Angebote, mit denen bin ich 
noch nicht durch, aber die werden wohl auch nicht viel anders sein.

Frank E. schrieb:
> Ein großes Problem: Vor lauter Marketing-Geblubber kann man kaum die
> Technik dahinter und die realen Vor- und Nachteile erkennen.

Erfahrung kann dabei helfen, und Wissen, das nicht nur aus 
Marketing-Material gesammelt ist. Je nach eigenen Fähigkeiten lernt man, 
damit umzugehen.

> Beispiel (gerade angefangen zu recherchieren): Alternativen zu VPN. Der
> neueste Schrei: "zero trustet network". Weil: VPN ist ja so teuer, so
> kompliziert und so unzuverlässig.

Die klassische Trennung in "drinnen alles sauber, blank gewienert, der 
Dreck ist nur draussen" der Vergangenheit angehört, ist schon länger 
klar. Neu daran ist hauptsächlich das nun durch die Strassen gejagte 
Label "Zero Trust". Die Problematik dahinter ist real, die Lösungen 
neigen indes zu einer gewissen Paradoxie, wie du schon sagst.

Frank E. schrieb:
> Alles Cloud, Cloud, Cloud und der Gipfel: Anmeldung nur über
> Facebook oder Google-Mail, keine "eigene" Mailadresse. Sehr
> vertrauenswürdig, abgehakt.

Der Charakter der Nachrichten wird sich mit der Zeit diesem Trend 
anpassen. Derzeit kann man täglich lesen, welche Bäckerei erst einmal 
kleinere Brötchen backen muss, weil gehackt. Dieses Trommelfeuer nervt, 
aber so lange ich notfalls ein paar Strassen weiter noch Brot kriege, 
kann ich damit leben.

So seltsam das klingt: Das sind die guten Nachrichten. Denn je 
zentralisierter diese Abhängigkeiten werden, desto mehr interessieren 
sich gut organisierte Hacker genau dafür. Das verschont einen dann zwar 
von täglichen Horrorstories, aber desto grösser werden die 
Ausfallszenarien. Wenns dann scheppert, kriege ich nicht nur kein Brot 
mehr in der Strasse nebenan, sondern keines in der ganzen Stadt.

Aber so spricht man halt als Oldie, mit zunehmendem "früher war alles 
besser" im Kopf ;-). Karteikartenregister und Aktenschränke sind so 
gesehen ziemlich sicher. Um diese Art von Daten rauszutragen muss man 
schon recht hart malochen. Heute meckert man gleichzeitig über 
fehlende Krisenfestigkeit und fehlende Digitalisierung.

Frank E. schrieb:
> Naja, man kann auch von einem Extrem ins andere verfallen. Interpretiere
> ich deine Antwort rein den Buchstaben nach, brauchen wir auch keine
> Bücher, sondern jeder erfindet für sich alles immer wieder neu.

Tja da hast du wohl alles falsch verstanden.

Wie kommst du darauf dass "Schule, Ausbildung, Uni" ohne Bücher abläuft 
oder dass jeder alles für sich selbst neu erfinden müsste? Meine 
Einlassung war das genau Gegenteil davon. Es scheint mir, dummstellen 
fällt dir leicht. Das würde mir zu denken geben.

Ich finde seinen Ansatz lobenswert. Die letzten Jahre hat er alle 
naselang seine Fragen ins Form gestellt. Wenn er jetzt versucht, mehr 
auf eigenen Beinen zu stehen, umso besser. Als Einzelkämpfer ist das 
allerdings schwieriger.

Frank E. schrieb:
> Beispiel (gerade angefangen zu recherchieren): Alternativen zu VPN. Der
> neueste Schrei: "zero trustet network". Weil: VPN ist ja so teuer, so
> kompliziert und so unzuverlässig.

Das eine hat mit dem anderen zwar Schnittmengen ersetzt sich aber nicht
oder ist ein regulärer universaler ersatz dafür. VPN (gleich welcher 
art) ist ein konkrete Technik mit Produkten, Hardware, software, 
Protokollen dahinter.

"zero trustet network“ ist erstmal nur ein Konzept die konkret in
Verfahren umgesetzt werden müssen. Und btw. Nur weil weil der
Sandkuchen jetzt chic Mamorkuchen heißt schmeckt er genauso wie vorher.
Sprich die Ideen sind nicht unbedingt neu werden aber halt grade als 
neues
Schwein auch den stall getrieben...

Wichtig ist vor allem: in welchem Bereich suchst du Informationen? Dann 
kann man viel von dem Marketing-Blah schon mal ausfiltern.

Zero Trust Networks und VPNs sind Konzepte auf Layer 4 und aufwärts.
Die im Ausgangspost genannten Begriffe zur Struktur, Segmentgröße, VLANs 
und Ausfallsicherheit sehe ich weiter unten, bis maximal Layer 3.

Wegen Virtualisierungs- und Tunnel-Techniken ist die Unterscheidung 
heute nicht mehr so eindeutig wie früher, aber immer noch hilfreich.

(prx) A. K. schrieb:
> Ich finde seinen Ansatz lobenswert. Die letzten Jahre hat er alle
> naselang seine Fragen ins Form gestellt. Wenn er jetzt versucht, mehr
> auf eigenen Beinen zu stehen, umso besser. Als Einzelkämpfer ist das
> allerdings schwieriger.

Die Art und Weise seiner Fragen läßt wenig Bereitschaft zu tiefgründiger 
Beschäftigung mit der Materie vermuten. Das habe ich ihm in irgendeinem 
Thread auch schon direkt gesagt. Er meint, er könne mit oberflächlicher 
Wissensaneignung und ein bißchen rumfragen seinen Kunden professionelle 
Lösungen anbieten. Das funktioniert nicht. Schon gar nicht in der jetzt 
angepeilten Dimension. Ich kenne solche "Dienstleister" zur Genüge, sie 
murksen eine "Lösung" zusammen, die auf den ersten Blick halbwegs 
funktioniert, kassieren dafür ab und sind schnell verschwunden, sobald 
Probleme auftauchen, deren Bewältigung mehr als Halbwissen erfordert. 
Glücklicherweise findet man solches Clientel nur bei kleinen 
Mittelständlern. Mittlere bis große Betriebe wissen i.d.R. um die 
Bedeutung der Sicherheit und Verfügbarkeit ihrer Systeme und überlassen 
die Arbeit nur wirklichen Profis.
Um Mißverständnissen vorzubeugen, trotz drei Jahrzehnten Berufserfahrung 
würde ich mir nicht zutrauen, das IT-System eines Großbetriebes zu 
planen. Meine Domäne sind kleine mittelständische Firmen bis max. 100 
User. Ich durfte auch schon im 1st-Level-Support großer Firmen aushelfen 
und Einblick in die Komplexität solcher Systeme nehmen. Gerade deswegen 
halte ich es für ausgeschlossen, daß man mit dem Lesen von ein paar 
Büchern in die Lage versetzt wird, diese von Grund auf zu planen bzw. zu 
realisieren. Und schon gar nicht als Einzelkämpfer. Nicht mal die 
erfahrenen Admins der Großbetriebe machen sowas allein, da wird vieles 
in Zusammenarbeit mit bzw. Delegierung an externe IT-Dienstleister 
erledigt.

Icke ®. schrieb:

> und Einblick in die Komplexität solcher Systeme nehmen. Gerade deswegen
> halte ich es für ausgeschlossen, daß man mit dem Lesen von ein paar
> Büchern in die Lage versetzt wird, diese von Grund auf zu planen bzw. zu
> realisieren. Und schon gar nicht als Einzelkämpfer. Nicht mal die
> erfahrenen Admins der Großbetriebe machen sowas allein, da wird vieles
> in Zusammenarbeit mit bzw. Delegierung an externe IT-Dienstleister
> erledigt.

Absolut, man kann nicht auf allen Gebieten ein absoluter Experte sein. 
Selbst in einer Sparte, z.B. Netzwerk, gibt es soviel verschiedene 
Techniken, dass man nicht allumfassendes Wissen haben kann. Ich kenne 
mich z.B. ziemlich gut mit Firewalls, Routern, WAN und VPN aus, wenn es 
allerdings um die Feinheiten von z.B. spanning tree oder anderen Layer 2 
Techniken oder WLAN geht, müsste ich mich auch erstmal wieder etwas 
auffrischen.

Von jemandem der praktisch ein Netzwerk oder gar IT-Lead, oder 
wenigstens Architekt, sein möchte (nach letzterem hört sich ja die 
Fragestellung des TE an), würde ich erwarten, dass er zum einen ein sehr 
breites Wissen hat, was nicht unbedingt bis ins letzte Detail gehen 
muss, allerdings ein Gespür für mögliche Fallstricke hat und diese 
gezielt in seine Planung mit einbezieht bzw. mit den hoffentlich 
vorhandenen Spezialisten (oder ja, den immer mehr in Mode kommenden 
Dienstleistern) abklärt.

Das Ignorieren von Experten und fehlende Erfahrung hat oft zur Folge, 
dass Projekte in "die Hose" gehen, bei uns geschehen mit Cisco ACI 
(wurde rückgebaut zu native Switchen bzw. NX-OS XD) und Checkpoint 
Firewalls (ersetzt durch Palo Alto).

Vor 20 Jahren hatte ich auch mal das "Vergnügen" quasi die komplette IT 
einer 200 Mann Firma zu managen, von 1st-3rd Level Support bis HW 
Einkauf, Deployment, Planung etc. für Server, PCs und Netzwerk. Das ging 
damals noch, weil die Technik und auch die Anforderungen noch recht 
überschaubar waren, heutzutage sicher nicht mehr möglich, wenn man es 
"gut" machen will.

Oft ist es eben auch nur "alter Wein in neuen Schläuchen", da muss man 
sich einfach mal kritisch mit dem Thema auseinandersetzen. Genau das 
würde ich z.B. von einem Dipl. Inf. (Neu-Deutsch: "Master) allerdings 
erwarten, sich selbst Wissen zu erarbeiten.

Das "Ich war natürlich selber schon mit allen mir einfallenden 
Suchwort-Kombis unterwegs, die Ausbeute ging gegen Null. Dank" des TE 
kann ich nicht ganz nachvollziehen.

Es kommt darauf an, wie tief jemand in der Materie bereits ist. Einzelne 
Aspekte lassen sich finden, aber ein Gesamtsystem mit 
Grundlagenbeschreibung findet sich kaum. Wer zufälligerweise solche 
Sendungen, wie die zur Crypto-AG gesehen oder davon gelesen haben 
sollte, wird auf die Idee kommen, das vielleicht all zu tiefes Wissen 
gar nicht so erwünscht sein möge.

Von Seiten der großen IT-Konzerne werden die Clouds aus eigenem Hause 
favorisiert diese als IT-Service unter die Kunden zu bringen. Diese sind 
natürlich wenig daran interessiert, das potentielle Kunden private 
Clouds aufziehen. Mit dem Wissen über das Design von modernen 
Netzwerken, wäre die Lernschwelle sowas selbst zu machen deutlich 
kleiner. Daher dürfte wenig Motivation vorhanden sein jemanden der ein 
gutes Standardwerk schreiben will, zu unterstützen.

Als Einzelaspekt interessant fand ich zum Beispiel einen Fachartikel von 
der Britisch Telecon, die gezielt zwei verschiedene Router-Systeme 
(unterschiedliche Hersteller und konzeptioneller Aufbau) zu verwenden, 
die als Kette eine höhere Sicherheit bieten für die Enklaven der 
Netzadministration. Wenn ähnliche Dinge in einem Fachbuch stehen 
sollten, wäre das ein Indiz für ein Buch das tief in die Materie geht. 
Mir ist bisher kein solches Buch über den Weg gelaufen und kann daher 
keinen solchen Buchtitel nennen.

Das ist mal wieder ein sehr typischer Beitrag von Dir, lieber TO.

Die Comunity soll mal wieder bei dem helfen, mit dem Du am Ende Deine 
Brötchen verdienst. Auf Eurer Homepage stehen nämlich genau die 
Themenfelder, zu dennen Du hier regelmäßig Fragen stellst.

Wie wirkt soetwas eigentlich auf den Kundenkreis?

Warun nimmt man als Unternehmer nicht mal ein paar Euros in die Hand und 
lässt sich bei einem Hersteller schulen und zertifizieren?

Gerade wenn es größere Netzwerke sind und die Fragen spezieller werden, 
ist soetwas doch kein Fehler!

Man muss sich heutzutage sowieso vom Gedanken verabschieden, das man als 
Techniker in weiter Felde, noch irgendwelche komplexen Themen allein 
lösen kann, allzuoft treten Probleme auf, die man selbst nicht 
zuverantworten hat!

Ich persönlich habe mit ZyXel recht gute Efahrunngen gemacht, die 
Hotline hat Ahnung, es gibt viele gute Dokus in Englisch, aber auch in 
Deutsch (bei Studerus = deren Schweizer Partner)

So Themen wie Duale WAN-Anbidungen, Policyrouting und Firewallcluster 
kann man auch abdecken. Ein Update des Firewallclusters kann man im 
laufendem Betrieb durchführen, da gehen dann max. 2 Pings verloren (ok 
einmal hatten die einen Bug in der Firmware, da gab es Probleme). Auch 
Anforderungen wie "overlapping subnetting" kann man abbilden.