11
Netzwerkkonzept mit neuer Firewall Watchguard Firebox M200
Hallo zusammen,
unser Netzwerk ist langsam aber sicher voll. Es handelt sich um ein Class C-Netz. Nun soll eine neue Firewall zum Einsatz kommen und das Netz soll aufgeteilt werden. Es handelt sich um ein mittelständisches Unternehmen mit 65 Mitarbeitern.
Als Firewall soll eine Watchguard Firebox M200 zum Einsatz kommen.
Unser EDV-Dienstleister hat uns ein Konzept vorgeschlagen. (siehe Bild)
Was haltet ihr von diesem Konzept.
Es soll auf jeden Fall so sein, dass es mehrere Netze und VLANs gibt.
Jede Abteilung soll über ein eigenes VLAN verfügen. Aus jeder Abteilung muss der File- und E-Mailserver erreichbar sein.
Ansonsten soll es eine DMZ geben, über die der Webserver für Kunden erreichbar sein soll.
was haltet ihr von diesem Konzept? Gibt es Verbesserungsvorschläge oder weitere Hinweise, Ideen, Tipps?
Ich bin für jede Anregung dankbar.
MfG
Mario
unser Netzwerk ist langsam aber sicher voll. Es handelt sich um ein Class C-Netz. Nun soll eine neue Firewall zum Einsatz kommen und das Netz soll aufgeteilt werden. Es handelt sich um ein mittelständisches Unternehmen mit 65 Mitarbeitern.
Als Firewall soll eine Watchguard Firebox M200 zum Einsatz kommen.
Unser EDV-Dienstleister hat uns ein Konzept vorgeschlagen. (siehe Bild)
Was haltet ihr von diesem Konzept.
Es soll auf jeden Fall so sein, dass es mehrere Netze und VLANs gibt.
Jede Abteilung soll über ein eigenes VLAN verfügen. Aus jeder Abteilung muss der File- und E-Mailserver erreichbar sein.
Ansonsten soll es eine DMZ geben, über die der Webserver für Kunden erreichbar sein soll.
was haltet ihr von diesem Konzept? Gibt es Verbesserungsvorschläge oder weitere Hinweise, Ideen, Tipps?
Ich bin für jede Anregung dankbar.
MfG
Mario
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 304207
Url: https://administrator.de/contentid/304207
Printed on: April 20, 2024 at 01:04 o'clock
11 Comments
Latest comment
Hallo,
wie ist denn die Verkabelung im Objekt aufgebaut? Enden alle Netzwerk-Dosen zentral im (Server-) Raum? Oder gibt es Etagen (Abteilungs-)-Verteiler?
Im ersten Fall stellt sich die Frage, warum es 3 Switsche sein müssen. Und wenn es auf Grund der Port-Anzahl schon mehere Switche sein müssen, dann doch lieber als Stack zur gemeinschaftlichen Administration.
Um die Firewall zu entlasten (die hat schon genug mit der Analyse der Datenpakete und dem Regelwerk zu tun) würde ich den zentralen Switch als L3-Switch ausführen. Damit bleibt die Firewall von internen LAN-Routing zw. den VLANs verschont.
Was ist denn die "DMZ" mit VLAN40? Eine 2. Verbindung aus der DMZ in das geschützte LAN ist brand gefährlich. Und es gibt dafür auch gar keinen Grund!
Jürgen
wie ist denn die Verkabelung im Objekt aufgebaut? Enden alle Netzwerk-Dosen zentral im (Server-) Raum? Oder gibt es Etagen (Abteilungs-)-Verteiler?
Im ersten Fall stellt sich die Frage, warum es 3 Switsche sein müssen. Und wenn es auf Grund der Port-Anzahl schon mehere Switche sein müssen, dann doch lieber als Stack zur gemeinschaftlichen Administration.
Um die Firewall zu entlasten (die hat schon genug mit der Analyse der Datenpakete und dem Regelwerk zu tun) würde ich den zentralen Switch als L3-Switch ausführen. Damit bleibt die Firewall von internen LAN-Routing zw. den VLANs verschont.
Was ist denn die "DMZ" mit VLAN40? Eine 2. Verbindung aus der DMZ in das geschützte LAN ist brand gefährlich. Und es gibt dafür auch gar keinen Grund!
Jürgen
1
Es gibt einen Etagenverteiler und alle anderen Netzwerkkabel enden direkt im Serverraum.
Die Switche sind vorhanden und sollen auch erstmal nicht ersetzt werden, daher sind es drei Switche.
Das ist schon einmal ein guter Hinweis.
Habe ich dementsprechend angepasst mit der DMZ und VLAN40.
Anbei nochmal ein aktueller Stand. So müsste es dann passen?
Der Layer-3-Switch ist dann Mitglied in jedem VLAN, damit das Routing in die VLANs übernehmen kann, richtig?
Die Switche sind vorhanden und sollen auch erstmal nicht ersetzt werden, daher sind es drei Switche.
Das ist schon einmal ein guter Hinweis.
Habe ich dementsprechend angepasst mit der DMZ und VLAN40.
Anbei nochmal ein aktueller Stand. So müsste es dann passen?
Der Layer-3-Switch ist dann Mitglied in jedem VLAN, damit das Routing in die VLANs übernehmen kann, richtig?
Hallo,
in Deiner Konstellation brauchst Du auf den Switches 1 - 3 gar keine VLANs konfigurieren.
Auf dem L3-Switch richtest Du 4 VLANs ein:
- VLAN10, 20, 30 mit jeweils einem untagged Port, an dem der jeweilige Switch1, 2 oder 3 angeschlossen wird
- VLAN40 als zusätzliches VLAN mit eigenem IP-Bereich zur Firewall; ebenfalls mit einem untagged Port (--> vereinfacht die Konfiguration
des Routing)
Die Verbindung L3-Switch zu Switch1 sollte als LWL-Link ausgeführt werden --> keine Potentialverschleppung zw. den unterschiedlichen Unterverteilungen, aus denen die Switche ihren Strom bekommen.
Jürgen
in Deiner Konstellation brauchst Du auf den Switches 1 - 3 gar keine VLANs konfigurieren.
Auf dem L3-Switch richtest Du 4 VLANs ein:
- VLAN10, 20, 30 mit jeweils einem untagged Port, an dem der jeweilige Switch1, 2 oder 3 angeschlossen wird
- VLAN40 als zusätzliches VLAN mit eigenem IP-Bereich zur Firewall; ebenfalls mit einem untagged Port (--> vereinfacht die Konfiguration
des Routing)
Die Verbindung L3-Switch zu Switch1 sollte als LWL-Link ausgeführt werden --> keine Potentialverschleppung zw. den unterschiedlichen Unterverteilungen, aus denen die Switche ihren Strom bekommen.
Jürgen
1
Danke für die super Hilfe.
Das bringt mich schon einen ganzen Schritt weiter.
Was würdet Ihr mir für einen layer-3-Switch empfehlen?
Das bringt mich schon einen ganzen Schritt weiter.
Was würdet Ihr mir für einen layer-3-Switch empfehlen?
Hallo!
Cisco SG 300 Serie.
http://www.cisco.com/c/dam/en/us/products/collateral/switches/small-bus ...
Jürgen
Cisco SG 300 Serie.
http://www.cisco.com/c/dam/en/us/products/collateral/switches/small-bus ...
Jürgen
1
Damit habt ihr mir sehr geholfen.
Vielen Dank für den super Support.
MfG
Mario
Vielen Dank für den super Support.
MfG
Mario
Ich würde jetzt gerne den Cisco-Switch bestellen und habe mich dazu noch ein wenig im Netz informiert.
Die Kritiker sagen, dass es lediglich ein Linksys-Gerät mit Cisco-Aufkleber wäre. Raten mir also davon ab.
Teilt ihr diese Meinung oder kann ich den Switch in Ruhe kaufen?
Bedanke mich vorab für jede Hilfe
MfG
Mario
Die Kritiker sagen, dass es lediglich ein Linksys-Gerät mit Cisco-Aufkleber wäre. Raten mir also davon ab.
Teilt ihr diese Meinung oder kann ich den Switch in Ruhe kaufen?
Bedanke mich vorab für jede Hilfe
MfG
Mario
Hallo,
Cisco kaufte Linksys um im SOHO-Markt besser Fuß zu fassen. Dann gab es die Entscheidung sich auf den Firmenbereich zu konzentrieren. Deshalb wurde Linksys 2013 wieder verkauft. --> Belkin
https://de.wikipedia.org/wiki/Cisco_Systems
Insofern hatte und hat Linksys nie etwas mit der eigentlichen Technik von Cisco zu tun.
Jürgen
Cisco kaufte Linksys um im SOHO-Markt besser Fuß zu fassen. Dann gab es die Entscheidung sich auf den Firmenbereich zu konzentrieren. Deshalb wurde Linksys 2013 wieder verkauft. --> Belkin
https://de.wikipedia.org/wiki/Cisco_Systems
Insofern hatte und hat Linksys nie etwas mit der eigentlichen Technik von Cisco zu tun.
Jürgen
1
D.h. Ich kann den Switch in Ruhe kaufen und muss mir keine Alternativen ansehen?
Habe in einem Praxis-Bsp gelesen, dass der Switch dort als Core-Switch (wie bei mir auch) mit 350 Clients und 25 VLANS betrieben wurde und das ohne Probleme. Das stimmt mich positiv.
Habe in einem Praxis-Bsp gelesen, dass der Switch dort als Core-Switch (wie bei mir auch) mit 350 Clients und 25 VLANS betrieben wurde und das ohne Probleme. Das stimmt mich positiv.
Hallo,
ich habe keine Cisco-Switche - namentlich aus der SG300-Serie - im Einsatz.Die Bewertung der Switche aus der SG200- und SG300-Serie hier im Forum und im Netz sind für den SOHO-Bereich durchweg positiv. Im HighEnd-Core-Bereich wären sie natürlich fehl am Platze.
Jürgen
ich habe keine Cisco-Switche - namentlich aus der SG300-Serie - im Einsatz.Die Bewertung der Switche aus der SG200- und SG300-Serie hier im Forum und im Netz sind für den SOHO-Bereich durchweg positiv. Im HighEnd-Core-Bereich wären sie natürlich fehl am Platze.
Jürgen
1
Alles Klar!
Dann werde ich mir so einen Switch für mein Vorhaben kaufen.
Vielen Dank!
Dann werde ich mir so einen Switch für mein Vorhaben kaufen.
Vielen Dank!
