itf02
Goto Top

VLAN Struktur - Switches in welches VLAN

Hallo zusammen,

ich benötige ein paar Tipps und Anregungen bzlg. der VLAN Struktur. Ich habe folgende Struktur, welche auch grundsätzlich funktioniert.

VLAN 10 Verwaltung
VLAN 20 Lager
VLAN 30 WLAN
VLAN 31 WLAN (1)

Produkte: HP 1810-24G / Netgear M5300 als LWL-Switch

In jedem VLAN gibt es einen Server und mehrere Clients.

Zur Zeit sind die einzelnen Switches aus unterschiedlichen VLAN erreichbar, z.B. ist der Switch im Lager auch nur aus dem VLAN Lager erreichbar und der aus der in der Verwaltung aus VLAN Verwaltung. Dies wird aber langsam unübersichtlich und ist mit Sicherheit auch nicht die "optimale" Lösung.


Wie ist die empfohlene Konfiguration für Switches?

Extra VLAN nur für Switches?
Switches in VLAN 0? [ Edit: Natürlich VLAN 1 ]
Wie sollen die Switches erreichbar sein? / Wie sind sie erreichbar?
Kann ich alles Switches von einer zentralen Stelle erreichen?
Kann ich alle Switches aus allen VLAN erreichen?
Was macht Sinn und was nicht?

Vielen Dank vorab.

Content-Key: 351272

Url: https://administrator.de/contentid/351272

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: aqui
aqui 10.10.2017 aktualisiert um 12:00:23 Uhr
Goto Top
ist der Switch im Lager auch nur aus dem VLAN Lager erreichbar
Sowas ist natürlich gruselig und zeugt von sehr schlechtem VLAN Design.
Alle Komponenten gehören mit ihrer Management IP in ein separates Management VLAN !
VLAN 0 ist natürlich Blödsinn, denn das ist gar nicht definert. Sollte man eigentlich wissen als Netzwerker.
Da bei so gut wie allen Switches das Management VLAN per Default immer in VLAN 1 liegt kann man es da auch belassen. Man darf dann allerdings das VLAN 1 NICHT für ein produktives Netzsegment nutzen...klar !
Bei dir ist das wie man sieht auch nicht der Fall. Würde also so gehen.
Alternativ kann man auch ein dediziertes VLAN dafür definieren, muss dann aber in der Konfig bei allen Komponenten die Management IP in dieses VLAN legen.
Hier mal am Beispiel eines Websmart Switches:
mgmtint

Entscheidend für die Erreichbarkeit und die Management Sicherheit aller Komponenten im Netz ist aber immer dein Layer 3 (Routing) Device was zwischen den VLANs routet !!
Ohne das dort eine entsprechende Accessliste definiert ist die den Zugang ins Management VLAN regelt kann natürlich jeder aus jedem VLAN alle Management IPs erreichen.
Auf diese Accesslisten oder Zugangsregeln im VLAN Router kommt es also an !!
Genau das hat wohl derjenige der das Netzwerk bei dir designed hat vollkommen vergessen oder war damit überfordert. Fatal, denn so kann jeder mit Leichtigkeit die Infrastrukturkomponenten sabotieren.
Kann ich alles Switches von einer zentralen Stelle erreichen?
Ja, aber ist dir Frage ob das gewollt ist.
Du bist ja mit deinem Arbeitsplatz Rechner in einem der VLANs oder 2 wenn man das WLAN ggf. mal mit dazu nimmst.
Über DHCP Nailing solltest du deinem rechner also abhängig von der Mac immer eine feste IP zuteilen und die Accessliste so einstellen das diese IP aus den beiden VLANs immer Zugriff auf das Management VLAN hat.
Entsprechend für den oder die Kollegen die dich vertreten.
Ein ggf. vorhandenes Netzwerk Management gehört somit auch direkt ins Management VLAN.
Kann ich alle Switches aus allen VLAN erreichen?
Theoretisch ja wenn man keine Accesslisten im Router definiert, der zwischen den VLANs routet !
Genau das will man aber logischerweise NICHT. Mit den Regeln lässt man nur die Rechner oder Netzwerke zu von denen man will das die ins Management VLAN sollen.
Was macht Sinn und was nicht?
Siehe obiger Thread !
Mitglied: maretz
maretz 10.10.2017 um 12:55:09 Uhr
Goto Top
Moin,

was Sinn macht und was nicht hängt von deinem Betrieb ab... Bist du in nem 5-Personen-Betrieb und Familienunternehmen in dem eh jeder Admin-Rechte hat ist das vermutlich etwas anderes als wenn du in nem Grosskonzern mit 100.000+ Mitarbeitern arbeitest...

Ich würde z.B. die Switches immer (wie auch die Router und andere Netzwerkgeräte) in nen Management-VLAN legen welches sich aus dem Admin-VLAN auch erreichen lässt. Du kannst auch ein Server-VLAN generieren in dem alle Server, Drucker usw. ebenfalls sich rumtummeln - auch das wäre nicht "falsch", sondern je nach Betrieb ggf. Sinnvoll...

Ich würde die jedoch nicht in ein VLAN abhängig vom Standort packen -> über die Beschreibung (kann in jedem Switch als Location eingetragen werden) weiss ich ja schon wo das Gerät steht (oder über den Gerätenamen, wenn ich das da einbauen möchte). Z.B. könnte man halt SW01L01, SW02L01 usw. machen -> Switch 1, Lager 1,....

Aber wie gesagt - was Sinn macht hängt stark von deinem Umfeld ab - das kann von "hau alles in ein Netz rein, haben eh alle Admin-Rechte überall" bis hin zu "via Mac-Auth wird entschieden ob du überhaupt ins Admin-Netz darfst - und dann noch via ACL& User-Accounts auf welche Switches du jetzt zugriff hast".
Mitglied: 108012
108012 10.10.2017 um 14:10:30 Uhr
Goto Top
Hallo,

ich benötige ein paar Tipps und Anregungen bzlg. der VLAN Struktur. Ich habe folgende Struktur, welche auch
grundsätzlich funktioniert.
Können wir dazu mal mehr erfahren? Wie verwaltest Du denn die Switche nun? Per Software wie Netgear NMS 300
oder via SSH mit Schlüssel oder User Account im Switch? Mittels Management VLAN (VLAN1) oder wie?

VLAN 10 Verwaltung
VLAN 20 Lager
VLAN 30 WLAN
VLAN 31 WLAN (1)
Und wer routet dazwischen? Ich meine zwischen den VLANs? Der Router, ein Layer3 Switch oder eine Firewall?

Produkte: HP 1810-24G / Netgear M5300 als LWL-Switch
Wie viele davon denn nun genau? Gestapelt oder nicht?

In jedem VLAN gibt es einen Server und mehrere Clients.
Ok

Zur Zeit sind die einzelnen Switches aus unterschiedlichen VLAN erreichbar, z.B. ist der Switch im Lager auch
nur aus dem VLAN Lager erreichbar und der aus der in der Verwaltung aus VLAN Verwaltung. Dies wird aber
langsam unübersichtlich und ist mit Sicherheit auch nicht die "optimale" Lösung.
Sicherheit ist immer ein mehrstufiges Konzept und nicht eine Idee alleine!
- Alle VLANs neu anlegen
- Mittels ACLs regeln wer was von wo nach wo darf
- Mittels User Account (Admin) regeln von wo der Admin etwas darf
- Mittels MAC und IP Adresse regeln von wo aus der Admin etwas darf
- Mittels SSH (Putty) (Schlüssel) den Zugang zu den Switchen absichern!
- Am besten wäre das management VLAN1 zu benutzen um von dort aus dann alles zu erledigen.

Wie ist die empfohlene Konfiguration für Switches?
Stapeln und zentral von einem Ort aus verwalten!

Extra VLAN nur für Switches?
Normalerweise setzt man über alle VLANs noch ein extra VLAN "drüber" so dass das VLAN1 abgetrennt von
allen anderen ist und das ist dann Dein VLAN zum Verwalten!

Wie sollen die Switches erreichbar sein? / Wie sind sie erreichbar?
Web, CLI oder Management Software.

Kann ich alles Switches von einer zentralen Stelle erreichen?
Von Deinem Admin PC, WS oder Server aus wäre natürlich das beste, denke ich mal.

Gruß
Dobby
Mitglied: rzlbrnft
rzlbrnft 06.05.2019 aktualisiert um 16:39:43 Uhr
Goto Top
Zitat von @aqui:
Entscheidend für die Erreichbarkeit und die Management Sicherheit aller Komponenten im Netz ist aber immer dein Layer 3 (Routing) Device was zwischen den VLANs routet !!
Ohne das dort eine entsprechende Accessliste definiert ist die den Zugang ins Management VLAN regelt kann natürlich jeder aus jedem VLAN alle Management IPs erreichen.
Auf diese Accesslisten oder Zugangsregeln im VLAN Router kommt es also an !!
Genau das hat wohl derjenige der das Netzwerk bei dir designed hat vollkommen vergessen oder war damit überfordert. Fatal, denn so kann jeder mit Leichtigkeit die Infrastrukturkomponenten sabotieren.

Mag alles stimmen, aber ich gehe mal davon aus, das die internen Mitarbeiter an der Sabotage der Switches kein Interesse haben.
Insofern sind bei uns die Management IPs auch da wo ich sie ohne Router erreichen kann und die Access Control soweit konfiguriert, das nur von Servern und IT PCs aus drauf zugegriffen werden kann.
Hat den einfachen Grund, das ich sonst bei einem Broadcast Sturm oder Router Ausfall aus welchem Grund auch immer gar nicht mehr drauf komme um festzustellen wo das Problem liegt.
Port umstellen tut hier auch der Azubi, damit er was lernt, insofern lässt sich das nicht zu 100% vermeiden.