3Com Baseline Switch 2916 - Vlan konfiguration
Hallo,
wir haben neulich die 3Com Baseline 2916 - SFP Plus vorgesetzt bekommen damit wir sie in unser Netz intrigieren.
Nun habe ich an der einen Stelle ein Problem mit der VLAN konfiguration.
Nach der Weboberfläche zu Urteilen ist es recht einfach.
VLAN anlegen -> Port dem VLAN zu ordnen und fertig.
Dem scheint aber nicht so. Ich habe es vorsichtshalber getestet und habe einen Lappi auf Port 1 und einen auf Port 10 angeschlossen.
Wenn die beiden in verschiedenen VLAN's liegen, dürfte doch das Pingen unter den Lappis unterbunden sein? oder sehe ich das falsch?
Es ist so das ich zwar in dem einen VLAN dann meist nur Rechner aus dem 192.168.244.0 Netz habe und auf dem anderen das 192.168.5.0,
aber ich möchte unterbinden das jemand einfach seine IP ändert und dann ins andere Netz kommt
Vielleicht kann mir da ja jemand mit den 3Coms helfen.
Übrigens ist der Support von denen ja mal richtig mies. Habe dort Kontakt gesucht, aber solange das Ding noch funktioniert gibts dort keinen Rat kostenlos
wir haben neulich die 3Com Baseline 2916 - SFP Plus vorgesetzt bekommen damit wir sie in unser Netz intrigieren.
Nun habe ich an der einen Stelle ein Problem mit der VLAN konfiguration.
Nach der Weboberfläche zu Urteilen ist es recht einfach.
VLAN anlegen -> Port dem VLAN zu ordnen und fertig.
Dem scheint aber nicht so. Ich habe es vorsichtshalber getestet und habe einen Lappi auf Port 1 und einen auf Port 10 angeschlossen.
Wenn die beiden in verschiedenen VLAN's liegen, dürfte doch das Pingen unter den Lappis unterbunden sein? oder sehe ich das falsch?
Es ist so das ich zwar in dem einen VLAN dann meist nur Rechner aus dem 192.168.244.0 Netz habe und auf dem anderen das 192.168.5.0,
aber ich möchte unterbinden das jemand einfach seine IP ändert und dann ins andere Netz kommt
Vielleicht kann mir da ja jemand mit den 3Coms helfen.
Übrigens ist der Support von denen ja mal richtig mies. Habe dort Kontakt gesucht, aber solange das Ding noch funktioniert gibts dort keinen Rat kostenlos
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 125298
Url: https://administrator.de/contentid/125298
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
4 Kommentare
Neuester Kommentar
Richtig Ahnung brauch man gar nicht wenns um so etwas Banales wie VLANs geht... Nur um es nochmal klarzustellen:
Wenn du z.B. 2 verschieden Port Based VLANs mit den IDs 10 und 20 einrichtest auf dem Switch, setzt den Port 1 in VLAN 10 und den Port 10 in VLAN 20, dann ist ein Ping zwischen den PCs NICHT möglich wenn sie:
Ein VLAN ist eine in sich geschlossene Broadcast Domain. Eine VLAN Kommunikation untereinander ist auf einem Layer 2 Switch, also einen NICHT routingfähigen Switch wie dein Baseline 2916 einer ist, generell nicht möglich !!
Wenn du die Geräte also anpingen kannst stimmt definitiv etwas mit deiner VLAN Konfig nicht !!
Ein Blick ins Handbuch
http://support.3com.com/infodeli/tools/switches/baseline/3Com_Baseline- ...
ins Kapitel 8, Seite 100 ff. zeigt auch Anfängern wie man einfach und schnell ein sauberes VLAN auf dem Switch aufsetzt !!
Device -> VLAN -> Setup VLAN plus ID plus Name anlegen
Ports mit selct ports to add to the vlan dem VLAN "untagged" zuweisen
mit
Device -> VLAN -> VLAN Detail überprüfen ob alles richtig ist !
Konfig sichern...gut ist !
Ansonsten gilt auch hier was der Thread:
Web Zugriff auf 3com SuperStack II Switch 3300 24 x 100TX (3C16980)
schon umfassend zu dem Thema VLANs auf 3Coms sagt !
Wenn du z.B. 2 verschieden Port Based VLANs mit den IDs 10 und 20 einrichtest auf dem Switch, setzt den Port 1 in VLAN 10 und den Port 10 in VLAN 20, dann ist ein Ping zwischen den PCs NICHT möglich wenn sie:
- a.) beide in einem gemeinsamen IP Netzwerk liegen !
- b.) beide in unterschiedlichen Netzwerken liegen ! Hier sowieso schon mal generell nicht durch die unterschiedlichen IP Netze.
Ein VLAN ist eine in sich geschlossene Broadcast Domain. Eine VLAN Kommunikation untereinander ist auf einem Layer 2 Switch, also einen NICHT routingfähigen Switch wie dein Baseline 2916 einer ist, generell nicht möglich !!
Wenn du die Geräte also anpingen kannst stimmt definitiv etwas mit deiner VLAN Konfig nicht !!
Ein Blick ins Handbuch
http://support.3com.com/infodeli/tools/switches/baseline/3Com_Baseline- ...
ins Kapitel 8, Seite 100 ff. zeigt auch Anfängern wie man einfach und schnell ein sauberes VLAN auf dem Switch aufsetzt !!
Device -> VLAN -> Setup VLAN plus ID plus Name anlegen
Ports mit selct ports to add to the vlan dem VLAN "untagged" zuweisen
mit
Device -> VLAN -> VLAN Detail überprüfen ob alles richtig ist !
Konfig sichern...gut ist !
Ansonsten gilt auch hier was der Thread:
Web Zugriff auf 3com SuperStack II Switch 3300 24 x 100TX (3C16980)
schon umfassend zu dem Thema VLANs auf 3Coms sagt !
Ich hatte schon mal ein ähnliches Problem. Ursache war folgendes:
Zufällig machte es die Büroorganisation notwendig, die Buchsen einer Zweiportdose auf jeweils unterschiedliche VLANS zu patchen. Die eine war für das Notebook eines Abteilungsleiters, diese lasse ich grundsätzlich nur per VPN über ein separates VLAN ins Netz, die andere war für seinen Arbeitsplatz-PC auf ein anderes VLAN gepatcht. Eingesetzt wurde ein 802.1q (tagging)-Switch. Jetzt hatte dieser nichtsnutzige AL die grandiose Idee, zusätzlich sein privates Notebook über einen mitgebrachten Billigswitch dranzuhängen. Die Ports beider Dosen hatte er auf seinen Switch gepatcht und es damit, zumindest theoretisch möglich gemacht, sich mit entsprechnder IP-Konfig von einem ins andere Netz zu bewegen. Aufgefallen ist das durch regelmässige Scans in den Netzwerken. Nix passiert aber Abtelungsleiter ist leider ungestraft davongekommen.Jeden anderen hätte man vermutlich entlassen. Sowas kann natürlich den Sicherheitsaspekt von VLANs aushebeln.
Zufällig machte es die Büroorganisation notwendig, die Buchsen einer Zweiportdose auf jeweils unterschiedliche VLANS zu patchen. Die eine war für das Notebook eines Abteilungsleiters, diese lasse ich grundsätzlich nur per VPN über ein separates VLAN ins Netz, die andere war für seinen Arbeitsplatz-PC auf ein anderes VLAN gepatcht. Eingesetzt wurde ein 802.1q (tagging)-Switch. Jetzt hatte dieser nichtsnutzige AL die grandiose Idee, zusätzlich sein privates Notebook über einen mitgebrachten Billigswitch dranzuhängen. Die Ports beider Dosen hatte er auf seinen Switch gepatcht und es damit, zumindest theoretisch möglich gemacht, sich mit entsprechnder IP-Konfig von einem ins andere Netz zu bewegen. Aufgefallen ist das durch regelmässige Scans in den Netzwerken. Nix passiert aber Abtelungsleiter ist leider ungestraft davongekommen.Jeden anderen hätte man vermutlich entlassen. Sowas kann natürlich den Sicherheitsaspekt von VLANs aushebeln.
Jein...wenn du nachgedacht hättest, dann hättest du eine MAC Security/ Port Security auf dem Switch konfiguriert ! D.h. die Mac Adresse seinens Notebooks auf dem Port des Switches festgelegt...analog die des PCs auf der anderen Buchse.
Du hättest also NUR das Notebook des AL und den Arbeitsplatz PC durchgelassen, da hätte auch ein Switch des AL nichts genützt.
Das der AL intelligent genug ist eine Mac Adresse im System umzusetzen, wenn er denn überhaupt weiss was das ist, wäre sicher unwahrscheinlich und du hättest sicher verhindert das er mit Fremdgeräten ins Netz kommt.
Sei es über das eine oder das andere VLAN. Sicher, das laienhafte Zusammenschalten hättest du nicht verhindern können, ganz sicher wäre er aber nicht mit seinen Privatgeräten in dein Netz gekommen ! Und das mit sehr wenig Konfig Aufwand über die Port Security.
Mac oder Port Security supportet heute fast jeder managebare Billigswitch und die 3Coms sowieso... !
Dann wäre der AL erstmal bei dir "betteln" gekommen da nix geht
Fazit: Bei Security immer etwas weiter denken....
Du hättest also NUR das Notebook des AL und den Arbeitsplatz PC durchgelassen, da hätte auch ein Switch des AL nichts genützt.
Das der AL intelligent genug ist eine Mac Adresse im System umzusetzen, wenn er denn überhaupt weiss was das ist, wäre sicher unwahrscheinlich und du hättest sicher verhindert das er mit Fremdgeräten ins Netz kommt.
Sei es über das eine oder das andere VLAN. Sicher, das laienhafte Zusammenschalten hättest du nicht verhindern können, ganz sicher wäre er aber nicht mit seinen Privatgeräten in dein Netz gekommen ! Und das mit sehr wenig Konfig Aufwand über die Port Security.
Mac oder Port Security supportet heute fast jeder managebare Billigswitch und die 3Coms sowieso... !
Dann wäre der AL erstmal bei dir "betteln" gekommen da nix geht
Fazit: Bei Security immer etwas weiter denken....