144144
Apr 30, 2020, updated at 19:51:43 (UTC)
2127
8
0
Verständnisfragen zum VLAN-Tutorial
Hallo!
Vor dem Hintergrund der baldigen Nutzung von FTTH möchte ich mein LAN neu strukturieren und habe mich durch zahlreiche Artikel und Turorials gewühlt. Vielen Dank an dieser Stelle für das Erstellen derselbigen.
Mein Setup derzeit ist eine Routerkaskade:
Fritzbox 7490 ---> Cisco SG250 (2 portbased VLANs)
|--> TP-Link OpenWRT ---^---> WLAN-AP
Ich möchte nun die Funktionen des Switches besser nutzen und daher auf mindestens einen Router verzichten. Mein derzeit geplantes Setup:
Modem ---> Firewall (mglw. APU3C4 oder der TP-Link) ---> Cisco SG250 (L3) ---> WLAN-APs
Nun habe ich noch folgende Verständnisfragen:
- Falls ich während einer Übergangsphase statt der FW noch die Fritzbox nutzen sollte, da derzeit noch keine VoIP-Telefone vorhanden sind, dann müsste der Uplink ohne eigenes VLAN, sondern stinknormal (nativ?), ablaufen. Ist das problematisch bzw. was ist die Überlegung hinter einem separaten VLAN für den Uplink gemäß Tutorial?
- Das Gästenetz soll keine IP-Adresse auf dem routenden Switch bekommen, sondern auf der FW terminieren. Welche Überlegung steckt hier dahinter? Weshalb wäre es ein Fehler, hier eine Adresse zu vergeben?
- Wie implementiere ich ein Managementnetz? Beim DNS-Server ist es mir noch irgendwie klar. Der kommt in das Mgmt-Netz und per ACL wird Port 53 aus den anderen Netzen erlaubt. Aber das NAS bspw. ist sowohl für Nutzer als auch zum Administrieren über https erreichbar, wie kann ich das separieren bzw. ist es bei solch einem Gerät überhaupt sinnvoll, es ins Mgmt-Netz zu setzen?
Ich hoffe, mich kann jemand erleuchten.
Gruß Marco
:wq
Vor dem Hintergrund der baldigen Nutzung von FTTH möchte ich mein LAN neu strukturieren und habe mich durch zahlreiche Artikel und Turorials gewühlt. Vielen Dank an dieser Stelle für das Erstellen derselbigen.
Mein Setup derzeit ist eine Routerkaskade:
Fritzbox 7490 ---> Cisco SG250 (2 portbased VLANs)
|--> TP-Link OpenWRT ---^---> WLAN-AP
Ich möchte nun die Funktionen des Switches besser nutzen und daher auf mindestens einen Router verzichten. Mein derzeit geplantes Setup:
Modem ---> Firewall (mglw. APU3C4 oder der TP-Link) ---> Cisco SG250 (L3) ---> WLAN-APs
Nun habe ich noch folgende Verständnisfragen:
- Falls ich während einer Übergangsphase statt der FW noch die Fritzbox nutzen sollte, da derzeit noch keine VoIP-Telefone vorhanden sind, dann müsste der Uplink ohne eigenes VLAN, sondern stinknormal (nativ?), ablaufen. Ist das problematisch bzw. was ist die Überlegung hinter einem separaten VLAN für den Uplink gemäß Tutorial?
- Das Gästenetz soll keine IP-Adresse auf dem routenden Switch bekommen, sondern auf der FW terminieren. Welche Überlegung steckt hier dahinter? Weshalb wäre es ein Fehler, hier eine Adresse zu vergeben?
- Wie implementiere ich ein Managementnetz? Beim DNS-Server ist es mir noch irgendwie klar. Der kommt in das Mgmt-Netz und per ACL wird Port 53 aus den anderen Netzen erlaubt. Aber das NAS bspw. ist sowohl für Nutzer als auch zum Administrieren über https erreichbar, wie kann ich das separieren bzw. ist es bei solch einem Gerät überhaupt sinnvoll, es ins Mgmt-Netz zu setzen?
Ich hoffe, mich kann jemand erleuchten.
Gruß Marco
:wq
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 568714
Url: https://administrator.de/contentid/568714
Printed on: April 18, 2024 at 11:04 o'clock
8 Comments
Latest comment
Moinsen,
vorweg: bin selber kein Profi nur Hobby admin und keine Ahnung von glasfaser Besonderheiten.
Dennoch kann ich dir zu deiner Netzwerk Topologie sagen, dass der Aufbau mit apu und pfsense plus Cisco dahinter deinen Anforderungen gerecht werden müsste.
damit kannst du VLANs nutzen (ohne dynamische Zuteilung allerdings), vpn einrichten, explizit den Verkehr zwischen den Netzwerk Segmenten routen (und im kleineren Netz vielleicht den switch auf L2 laufen lassen....), DNS und dhcp anbieten und...
Zu deinen Fragen :
Ich nutze hier weiter eine oft verpöhnte Router kaskade, fritzbox, dahinter pfSense. Läuft problemlos und für meine persönlichen Bedürfnisse ausreichend gut. Deswegen hab ich auch kein Stress mit Telefonie. So als fallback vielleicht...
Bei zb pfSense auf apu könntest du den gesamten Gäste Bereich auf ein eigens physisches Interface legen und hättest auch ganz ohne vlan ne Trennung. Es geht aber bei korrekter Firewall Konfiguration auch über vlan und ein physisches Interface... Ist heimnetz keine Firma.
Ins Management Netz würde ich nur die Geräte stellen, die das strukturelle Rückgrat deines Netzwerks bilden... Router, switch, AP... Server nicht, entweder ins eigene Netz, oder dahin, wo die clients oft drauf zugreifen (Heimnetz), spart routing da in einem vlan... Ob du jetzt ein eigenes vlan fürs Management willst oder dass default VLAN1 in dem die Geräte meist ja liegen nutzt, habe ich mich hier auch gefragt. Bin nach guten Erklärungen hier davon ab und hab den Zugriff auf die Geräte so reglementiert, dass nur aus demselben vlan mit nur einer IP zugegriffen werden kann, alles andere blockiert und somit für meine bescheidenen Erwartungen und Anwendungen ausreichend...
Soviel aus dem hobbykeller, mal sehen was die Profis sagen.
Viel spass beim Aufbau und einrichten...
Grüssle
th30ther
vorweg: bin selber kein Profi nur Hobby admin und keine Ahnung von glasfaser Besonderheiten.
Dennoch kann ich dir zu deiner Netzwerk Topologie sagen, dass der Aufbau mit apu und pfsense plus Cisco dahinter deinen Anforderungen gerecht werden müsste.
damit kannst du VLANs nutzen (ohne dynamische Zuteilung allerdings), vpn einrichten, explizit den Verkehr zwischen den Netzwerk Segmenten routen (und im kleineren Netz vielleicht den switch auf L2 laufen lassen....), DNS und dhcp anbieten und...
Zu deinen Fragen :
Ich nutze hier weiter eine oft verpöhnte Router kaskade, fritzbox, dahinter pfSense. Läuft problemlos und für meine persönlichen Bedürfnisse ausreichend gut. Deswegen hab ich auch kein Stress mit Telefonie. So als fallback vielleicht...
Bei zb pfSense auf apu könntest du den gesamten Gäste Bereich auf ein eigens physisches Interface legen und hättest auch ganz ohne vlan ne Trennung. Es geht aber bei korrekter Firewall Konfiguration auch über vlan und ein physisches Interface... Ist heimnetz keine Firma.
Ins Management Netz würde ich nur die Geräte stellen, die das strukturelle Rückgrat deines Netzwerks bilden... Router, switch, AP... Server nicht, entweder ins eigene Netz, oder dahin, wo die clients oft drauf zugreifen (Heimnetz), spart routing da in einem vlan... Ob du jetzt ein eigenes vlan fürs Management willst oder dass default VLAN1 in dem die Geräte meist ja liegen nutzt, habe ich mich hier auch gefragt. Bin nach guten Erklärungen hier davon ab und hab den Zugriff auf die Geräte so reglementiert, dass nur aus demselben vlan mit nur einer IP zugegriffen werden kann, alles andere blockiert und somit für meine bescheidenen Erwartungen und Anwendungen ausreichend...
Soviel aus dem hobbykeller, mal sehen was die Profis sagen.
Viel spass beim Aufbau und einrichten...
Grüssle
th30ther
damit kannst du VLANs nutzen (ohne dynamische Zuteilung allerdings),
Den Bedarf nach dynamischer Zuteilung sehe ich derzeit zum Glück noch nicht.Ich nutze hier weiter eine oft verpöhnte Router kaskade, fritzbox, dahinter pfSense. Läuft problemlos und für meine persönlichen Bedürfnisse ausreichend gut. Deswegen hab ich auch kein Stress mit Telefonie. So als fallback vielleicht...
Hatte ich auch schon drüber nachgedacht und ist auch noch nicht komplett verworfen. Telefonie über die Fritzbox läuft halt stressfrei...Bei zb pfSense auf apu könntest du den gesamten Gäste Bereich auf ein eigens physisches Interface legen und hättest auch ganz ohne vlan ne Trennung.
Möchte nur so wenig APs wie nötig kaufen, daher werde ich wohl trotzdem über den Switch gehen.Ins Management Netz würde ich nur die Geräte stellen, die das strukturelle Rückgrat deines Netzwerks bilden... Router, switch, AP...
CheckServer nicht, entweder ins eigene Netz, oder dahin, wo die clients oft drauf zugreifen (Heimnetz), spart routing da in einem vlan...
Sehe ich ein, ist auch logisch.Ob du jetzt ein eigenes vlan fürs Management willst oder dass default VLAN1 in dem die Geräte meist ja liegen nutzt, habe ich mich hier auch gefragt.
Hab immer noch im Hinterkopf, dass man VLAN 1 gar nicht nutzen soll, um ein Double Tagging zu vermeiden!?Viel spass beim Aufbau und einrichten...
Danke. Der Teufel wird wie immer im Detail stecken. 
:wq
Der Teufel wird wie immer im Detail stecken.
Nein, das ist falsch. Jedenfalls nicht wenn man vorher sauber plant und mit dem richtigen Kozept vorgeht. Das ist immer in der IT so.Kollege @th30ether hat oben ja schon alles ausführlich zu dem Thema gesagt.
Grundsätzlich musst du dich vorher festlegen was für ein VLAN Design du umsetzen willst.
Entweder ein zentrales Routing über den Router oder Firewall und der Switch arbeitet rein nur als Layer 2 VLAN Switch wie es im von dir angesprochenen VLAN_Tutorial beschrieben ist. Oder...
Du setzt ein Layer 3 Switching Konzept auf auf deinem SG-250, der ja auch ein Layer 3 Switch ist.
Wie das geht erklärt dir das Layer 3 Tutorial hier:
Verständnissproblem Routing mit SG300-28
Letzteres hätte den Vorteil das dein Internet Router, was auch immer das ist, keinerlei 802.1q VLAN Funktionalität benötigt wie es in der zentralen Option aber Voraussetzung wäre. Damit kannst du dann völlig frei entscheiden ob du da FriztBüx, OpenWRT, Mikrotik oder eine pfSense etc. einsetzt.
Nachteil ist das du mit Access Listen auf dem L3 Switch die VLANs abschotten musst. Performanceseitig hat das Switch L3 Konzept einen klaren Vorteil aber auch nur dann wenn man sehr viel VLAN übergreifenden Traffic hat. Ist dieser eher gering und eher Internet bezogen ist das zentrale Konzept besser.
Im Switch Konzept hättest du zusätzlich auch noch die Anforderung das du Sicherheits relevante VLANs nie auf dem Switch routingtechnisch terminierst sondern immer direkt auf der FW. Diese VLANs müsste man dann so oder so wieder zentral über den Uplink auf den Router oder Firewall terminieren und ist dann wieder bei der 802.1q VLAN Anforderung im Uplink was dich dann doch wieder auch entsprechende Router HW festnagelt.
Die Konzepte sind aber grundverschieden und man sollte immer VORHER festlegen für welches man sich entscheidet sofern man die entsprechende HW besitzt. Mit einem reinen Layer 2 only VLAN Switch stellt sich diese Frage logischerweise gar nicht erst.
Nein, das ist falsch. Jedenfalls nicht wenn man vorher sauber plant und mit dem richtigen Kozept vorgeht. Das ist immer in der IT so.
Ja, ich bezog mich auch auf die Planung. Umgesetzt wird erst, wenn klar ist, wie es funktioniert und ob genügend Dosen vorhanden sind. 
Also, die Unterschiede zwischen den beiden Optionen sind schon klar, da hab ich mich zwar noch nicht wirklich entschieden, aber Vor- und Nachteile sind bekannt.
Die Frage, warum sicherheitsrelevante VLANs nicht auf dem Switch terminieren sollten, ist allerdings noch nicht befriedigend beantwortet worden. Welche Überlegungen stecken dahinter? Ist die Firewall eher in der Lage, den Traffic in diese VLANs abzuschotten, oder was ist der Grund?
Ansonsten haben die beiden Antworten schon einiges geklärt, vielen Dank!
Zitat von @144144:
Die Frage, warum sicherheitsrelevante VLANs nicht auf dem Switch terminieren sollten, ist allerdings noch nicht befriedigend beantwortet worden. Welche Überlegungen stecken dahinter? Ist die Firewall eher in der Lage, den Traffic in diese VLANs abzuschotten, oder was ist der Grund?
Ahoi!
Also ich komme aus der Mikrotik-Welt und terminiere dort die VLANs fast immer an einem (ausreichend starken) Router.
Waurm?
Nun, da ich nur auf dem Router alle Möglichkeiten des Firewallings habe, Ausnahmen definieren und Pakete markieren und routen kann usw.
Auf nem Switch ist das in dem Umfang i.d.R. nicht möglich (kenne das Cisco-Gerät allerdings auch nicht, muss ich einräumen), denn sonst wäre es ja bereits ein Router.
Beispiel für Dein Netz:
Alle User sollen auf die Netzwerkfreigaben des NAS zugreifen können, aber sie sollen nicht auf die Weboberfläche des NAS kommen, um es auch nicht administrieren zu können. Joa gut, also dann ist der Zugriff aus dem Gäste-VLAN nur per SMB-Protokoll möglich, nicht per https.
Kann das der Switch? Der Router kann es.
(Diese Idee ist nicht durchdacht, sondern soll nur nen Denkanstoss geben bezüglich der Möglichkeiten).
Kurzum: regelst Du alle VLANs über den Router, hast Du auch immer alle Möglichkeiten, auch dann, wenn sich am Netzwerk mal was ändert - Du regelst immer alles schön zentral am Router. Terminierst Du VLANs am Switch nimmst Du Dir selbst einige Optionen.
Das ist nicht im jedem Szenario der Weisheit letzter Schluss, aber es funktioniert immer.
Gruß,
Colt
Hallo!
Okay, also ist die "richtige" Firewall der Grund. SMB von HTTPS könnte ich zwar auch am Switch trennen, aber tiefergehende Regeln, vor allem wenn sie stateful sein sollen, kann der natürlich nicht.
Das dachte ich mir schon, nur wollte ich sichergehen, dass ich nichts übersehe, da ich gerne den Sinn hinter solchen "isso"-Regeln verstehe.
Besten Dank an alle!
:wq
Okay, also ist die "richtige" Firewall der Grund. SMB von HTTPS könnte ich zwar auch am Switch trennen, aber tiefergehende Regeln, vor allem wenn sie stateful sein sollen, kann der natürlich nicht.
Das dachte ich mir schon, nur wollte ich sichergehen, dass ich nichts übersehe, da ich gerne den Sinn hinter solchen "isso"-Regeln verstehe.
Besten Dank an alle!
:wq
Die Frage, warum sicherheitsrelevante VLANs nicht auf dem Switch terminieren sollten
Da gibt es kein KO Kriterium ! Rein technisch kann man das natürlich machen.Großer Nachteil ist das ACLs auf den Switches nicht stateful sind und du dann 2 kritische Punkte hast wo du Security pflegen musst. Switch und Firewall.
Bricht z.B. jemand aus dem Gastnetz aus liegt er dann gleich am Switch mit zentralem Access in alle anderen VLANs. Keine ganz so gute Idee aber für jemand der weiss was er tut natürlich so machbar. Oder eben mit einem hybriden Ansatz also alles Switch basierend lokal routen was sicher ist und alles andere via Layer 2 auf die Firewall "durchschleifen". So wird es in der Regel auch in Firmennetzen gemacht weil einen Firewall doch immer etwas wasserdichter ist.
Es ist aber alles immer rein nur von deiner eigenen Sicherheits Policy abhängig. Wenn DU damit leben kannst und DU das für ausreichend sicher hältst dann ist es gut so und du kannst das auch so umsetzen. Solche Überlegungen sind meist rein Sicherheits relevant.
Alles klar, vielen Dank!
