10
Abgrenzung von zwei Netzen bzw. Bereichen
Hallo,
ich habe mal eine Frage zur Abgrenzung von Netzen / Arbeitbereichen. Zur Zeit gibt es ein Produktiv Netz (Arbeitsplätze etc) / ein physisch getrenntes zweites Netz wo Buchhaltung und Zahlung läuft. Dieser zweiter Bereich ist zur Zeit noch nicht virtualisiert. Der erste Bereich ist virtualisiert mit vm ware esxi 5.1
Da ich hier kein Spezialist bin. Was gibt es für Möglichkeiten unter vmware, wenn man zwar einen Austausch Digitaler Belege für ein DMS erlauben möchte, ansonsten aber keine Zugriffe zulassen möchte. Das der Buchhaltungsbereich mit Zahlungsverkehr auch virtualisiert wird einmal vorausgesetzt.
Wie kann man das am sichersten lösen ?
Macht eine Insel zwischen den beiden Netzen Sinn, wo jeweil nur der Austausch auf der Insel möglich ist ? Produktiv -> Insel <- Buchhaltung/Zahlung
Für ein paar Tips wie sowas in der Praxis realisiert wird, wäre ich dankbar, damit man sich in diese Richtungen weiter beraten lassen kann. Danke.
ich habe mal eine Frage zur Abgrenzung von Netzen / Arbeitbereichen. Zur Zeit gibt es ein Produktiv Netz (Arbeitsplätze etc) / ein physisch getrenntes zweites Netz wo Buchhaltung und Zahlung läuft. Dieser zweiter Bereich ist zur Zeit noch nicht virtualisiert. Der erste Bereich ist virtualisiert mit vm ware esxi 5.1
Da ich hier kein Spezialist bin. Was gibt es für Möglichkeiten unter vmware, wenn man zwar einen Austausch Digitaler Belege für ein DMS erlauben möchte, ansonsten aber keine Zugriffe zulassen möchte. Das der Buchhaltungsbereich mit Zahlungsverkehr auch virtualisiert wird einmal vorausgesetzt.
Wie kann man das am sichersten lösen ?
Macht eine Insel zwischen den beiden Netzen Sinn, wo jeweil nur der Austausch auf der Insel möglich ist ? Produktiv -> Insel <- Buchhaltung/Zahlung
Für ein paar Tips wie sowas in der Praxis realisiert wird, wäre ich dankbar, damit man sich in diese Richtungen weiter beraten lassen kann. Danke.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 365362
Url: https://administrator.de/contentid/365362
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
du kannst die Netze virtuell voneinander trennen.
Stichwort VLAN.
Setzt natürlich entsprechendes Equipment (Switche/ Router) voraus.
Am besten liest du dir mal das gut geschriebene HowTo des Kollegen @aqui durch:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Tipp:
überlege auch mal, deine ESXI-Version upzugraden, sofern die Hardware das kann. Denn der General SUpport des ESXi 5.5 ist auch "schon" für September diesen Jahres abgekündigt: vSphere 5.5 and vSAN 5.5 End of General Support Reminder
Gruß
em-pie
du kannst die Netze virtuell voneinander trennen.
Stichwort VLAN.
Setzt natürlich entsprechendes Equipment (Switche/ Router) voraus.
Am besten liest du dir mal das gut geschriebene HowTo des Kollegen @aqui durch:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Tipp:
überlege auch mal, deine ESXI-Version upzugraden, sofern die Hardware das kann. Denn der General SUpport des ESXi 5.5 ist auch "schon" für September diesen Jahres abgekündigt: vSphere 5.5 and vSAN 5.5 End of General Support Reminder
Gruß
em-pie
Hallo,
Ausser Virtuelle Router zu betreiben gar keine. Eine VM hat eher nichts mit der Trennung zwischen Netze zu tun. Dafür sind Router da, egal ob echte Netzte oder Virtuelle (VLANs).
Gruß,
Peter
Ausser Virtuelle Router zu betreiben gar keine. Eine VM hat eher nichts mit der Trennung zwischen Netze zu tun. Dafür sind Router da, egal ob echte Netzte oder Virtuelle (VLANs).
wenn man zwar einen Austausch Digitaler Belege für ein DMS erlauben möchte, ansonsten aber keine Zugriffe zulassen möchte.
Routing und ACLs einrichtenDas der Buchhaltungsbereich mit Zahlungsverkehr auch virtualisiert wird einmal vorausgesetzt.
Virtualisierung ist dazu nicht nötig. Es kann auch mit echten Netzen und Rechner gemacht werden. Virtualisierung hat also damit nichts zu tun - andere Baustellen mit anderen Aufgaben.Macht eine Insel zwischen den beiden Netzen Sinn, wo jeweil nur der Austausch auf der Insel möglich ist ? Produktiv -> Insel <- Buchhaltung/Zahlung
Wenn du es so haben willst.Für ein paar Tips wie sowas in der Praxis realisiert wird, wäre ich dankbar, damit man sich in diese Richtungen weiter beraten lassen kann. Danke.
Routing, VLAN, meherere LAN und Zugriff untereinander, ACLs usw. Wie schon mal gesagt, hat mit Virtualisierung nullkommanichts zu tun.Gruß,
Peter
Vielen Dank für Eure Antworten.
Ok, Virtualisierung und auch Update ESXi wären in dem Zuge mit zu überdenken, aber verstanden das das separat zu sehen ist.
Beide Netze werden über HP ProCurve Switche und Lancom Router abgebildet.
Wie würde man denn praktischerweise vorgehen ?
Weiteren Switch auf dem VLAN, Routing, ACL eingestellt werden kann und nochmal auf beide patchen ??
Oder muss man alle Switche rausschmeißen und großen besorgen wodrauf alles gepatch werden kann ?
Vielleicht könnt ihr mir hier nochmal gedanklich weiterhelfen und gerne auch bevorzugte Switche nennen ?
In wie weit kann man den übergreifenden Verkehr denn steuern. Der Switch erkennt in dem Sinne doch nicht DAS DMS Programm, sondern nur
den Port über den das Programm kommuniziert, oder ?
Ok, Virtualisierung und auch Update ESXi wären in dem Zuge mit zu überdenken, aber verstanden das das separat zu sehen ist.
Beide Netze werden über HP ProCurve Switche und Lancom Router abgebildet.
Wie würde man denn praktischerweise vorgehen ?
Weiteren Switch auf dem VLAN, Routing, ACL eingestellt werden kann und nochmal auf beide patchen ??
Oder muss man alle Switche rausschmeißen und großen besorgen wodrauf alles gepatch werden kann ?
Vielleicht könnt ihr mir hier nochmal gedanklich weiterhelfen und gerne auch bevorzugte Switche nennen ?
In wie weit kann man den übergreifenden Verkehr denn steuern. Der Switch erkennt in dem Sinne doch nicht DAS DMS Programm, sondern nur
den Port über den das Programm kommuniziert, oder ?
Wie kann man das am sichersten lösen ?
Mit einem kleinen Router (z.B. einem kl. 5 Port, 35 Euro Mikrotik hexLite) und Access Listen oder einen kleinen Firewall.Hier steht es wie es geht:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und hier wie man es mittles VLANs und VLAN Switches löst:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ein sehr simples Standard Szenario bei einer Segmentierung !
Hallo,
Und? Haben die Teiel auch Modellnummern? Denn dein vorgehen hängt vdavon ab was diese Switche und LanCom Router denn so können bzw. nicht können.
Cisco
Der L3 Switch erkennt daneben noch die IP und Port.
https://de.wikipedia.org/wiki/Switch_(Netzwerktechnik)
https://de.wikipedia.org/wiki/Layer-3-Switch
https://de.wikipedia.org/wiki/Virtual_Local_Area_Network
https://de.wikipedia.org/wiki/Access_Control_List
https://en.wikipedia.org/wiki/VLAN_access_control_list
https://de.wikipedia.org/wiki/Network_Access_Control
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN (Layer2) oder Routing (Layer3) zum Trennen
ACL Konfiguration HP1920 mit VLANs
ACL auf Cisco SG300 L3 Switch einrichten
Cisco SG300 ACLs einrichten
Gruß,
Peter
Und? Haben die Teiel auch Modellnummern? Denn dein vorgehen hängt vdavon ab was diese Switche und LanCom Router denn so können bzw. nicht können.
Wie würde man denn praktischerweise vorgehen ?
VLANs aufbauen und miteinander per Router oder L3 Switche verbinden.Weiteren Switch auf dem VLAN, Routing, ACL eingestellt werden kann und nochmal auf beide patchen ??
Eine der möglichkeitenOder muss man alle Switche rausschmeißen und großen besorgen wodrauf alles gepatch werden kann ?
Auch eine der möglichkeitenVielleicht könnt ihr mir hier nochmal gedanklich weiterhelfen und gerne auch bevorzugte Switche nennen ?
VLAN bzw. mehrere LANs im LAN lesen, und verstehen.Cisco
In wie weit kann man den übergreifenden Verkehr denn steuern.
ACL (Access Control List)Der Switch erkennt in dem Sinne doch nicht DAS DMS Programm, sondern nur den Port über den das Programm kommuniziert, oder ?
Der L2 Switch kennt nur die Ziel und Quelle MAC.Der L3 Switch erkennt daneben noch die IP und Port.
https://de.wikipedia.org/wiki/Switch_(Netzwerktechnik)
https://de.wikipedia.org/wiki/Layer-3-Switch
https://de.wikipedia.org/wiki/Virtual_Local_Area_Network
https://de.wikipedia.org/wiki/Access_Control_List
https://en.wikipedia.org/wiki/VLAN_access_control_list
https://de.wikipedia.org/wiki/Network_Access_Control
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN (Layer2) oder Routing (Layer3) zum Trennen
ACL Konfiguration HP1920 mit VLANs
ACL auf Cisco SG300 L3 Switch einrichten
Cisco SG300 ACLs einrichten
Gruß,
Peter
Zu der Nachfrage bzgl. Modelle
Das Produktiv Netz ist über einen HP Procurve 4208 VL J8773A + 2510-48 J9080A sowie Lancom Router 1781VA + 1721+VPN
Das Getrennte Netz über HP Pro Curve 1810G-24 J9450A sowie Lancom Router 1781EF
Wären die VLANs bzw. ja eher die Verbindung jetzt am sinnvolsten über einen neuen Router der mit allen Bestands Switches verbunden wird ?
Das Produktiv Netz ist über einen HP Procurve 4208 VL J8773A + 2510-48 J9080A sowie Lancom Router 1781VA + 1721+VPN
Das Getrennte Netz über HP Pro Curve 1810G-24 J9450A sowie Lancom Router 1781EF
Wären die VLANs bzw. ja eher die Verbindung jetzt am sinnvolsten über einen neuen Router der mit allen Bestands Switches verbunden wird ?
Der HP 4208 ist doch ein Layer 3 Switch also ein Router !
Wozu dann also einen neuen Router, das wäre dann ja völliger Blödsinn wenn man es einfach mit dem vorhandenen L3 Switch und ggf. einer Accessliste schnell und elegant lösen kann wenn man den Zugang limitieren möchte.
Wozu hast du denn sonst den L3 Switch 4208 ?!
Ist dieses abgetrennte Netz aber eins was besondere Sicherheits Anforderungen hat und Internet Zugang zulassen muss, also sowas wie einen DMZ z.B. dann ist ein L3 Switch und ACLs aus Sicherheitssicht zwar machbar aber nicht die beste Lösung.
Hier bietet sich dann in der Tat eine externe [ Firewall] an oder der Lancom Router der ja eine integrierte FW hat.
Bei einem normalen, nicht kritischen, zusätzlichen Netzwerk VLAN Segment wie WLAN, Drucker oder Server usw. die separat arbeiten sollen ist die Lösung immer der L3 Switch natürlich.
Wozu dann also einen neuen Router, das wäre dann ja völliger Blödsinn wenn man es einfach mit dem vorhandenen L3 Switch und ggf. einer Accessliste schnell und elegant lösen kann wenn man den Zugang limitieren möchte.
Wozu hast du denn sonst den L3 Switch 4208 ?!
Ist dieses abgetrennte Netz aber eins was besondere Sicherheits Anforderungen hat und Internet Zugang zulassen muss, also sowas wie einen DMZ z.B. dann ist ein L3 Switch und ACLs aus Sicherheitssicht zwar machbar aber nicht die beste Lösung.
Hier bietet sich dann in der Tat eine externe [ Firewall] an oder der Lancom Router der ja eine integrierte FW hat.
Bei einem normalen, nicht kritischen, zusätzlichen Netzwerk VLAN Segment wie WLAN, Drucker oder Server usw. die separat arbeiten sollen ist die Lösung immer der L3 Switch natürlich.
Hallo aqui,
also das getrennte Zahlungs-/Buha Netz hängt hinter dem HP Pro Curve 1810G-24 J9450A sowie Lancom Router 1781EF der abgesichert über Datev ins internet geht. Nach aussen würde ich davon ausgehen, das die Absicherung über Datev gewährleistet ist. Jetzt ginge es hier darum den internen Austausch zwischen Buha und Produktion für das DMS zuzulassen und alles andere abzuschirmen.
Patche ich jetzt nur von einem Switch zum anderen und mache dann die Einstellungen in einem der Switche ?
also das getrennte Zahlungs-/Buha Netz hängt hinter dem HP Pro Curve 1810G-24 J9450A sowie Lancom Router 1781EF der abgesichert über Datev ins internet geht. Nach aussen würde ich davon ausgehen, das die Absicherung über Datev gewährleistet ist. Jetzt ginge es hier darum den internen Austausch zwischen Buha und Produktion für das DMS zuzulassen und alles andere abzuschirmen.
Patche ich jetzt nur von einem Switch zum anderen und mache dann die Einstellungen in einem der Switche ?
Hallo,
Wie jetzt? Der Lancom hat eine Verbindung zu Datev und von dort geht ihr dann ins Internet? Unglaublich.
Mal das ganze doch mal auf was bei dir wie miteinander verschaltet ist und wo welches Gerät steht und wo welches Netz läuft. Das macht es für uns leichter zu erkennen was du vermutlich verinnerlicht hast. Wir sind hier nämlich Blind und Taub, und könne nur aus deinem geschreibsel Informationen entnehmen (sofern Infomationen vorhanden und Zielführend).
Gruß,
Peter
Wie jetzt? Der Lancom hat eine Verbindung zu Datev und von dort geht ihr dann ins Internet? Unglaublich.
Nach aussen würde ich davon ausgehen, das die Absicherung über Datev gewährleistet ist.
Wer, wie, was? Datev stellt euch also einen Internetzugang zur Verfügung?Mal das ganze doch mal auf was bei dir wie miteinander verschaltet ist und wo welches Gerät steht und wo welches Netz läuft. Das macht es für uns leichter zu erkennen was du vermutlich verinnerlicht hast. Wir sind hier nämlich Blind und Taub, und könne nur aus deinem geschreibsel Informationen entnehmen (sofern Infomationen vorhanden und Zielführend).
internen Austausch zwischen Buha und Produktion für das DMS zuzulassen und alles andere abzuschirmen.
BuHa vermutlich Buchhaltungsnetz da du DATEV erwähnt hast.Patche ich jetzt nur von einem Switch zum anderen und mache dann die Einstellungen in einem der Switche ?
Es kommt drauf an welchen Switch du wohin stellst und wie das tatsächlcih Konfigurierst. Wir wissen zwar das du einen HP 4208 hast, aber wir wissen nicht wo der eingebaut ist (Nein, von Rack oder Schrank oder Hinterzimmer reden wir hier nicht).Gruß,
Peter
Jetzt ginge es hier darum den internen Austausch zwischen Buha und Produktion für das DMS zuzulassen und alles andere abzuschirmen.
OK, das ist kinderleicht und machst du dann über den Layer 3 Switch 4208 !- VLAN auf dem 4208 einrichten für die BuHa z.B. VLAN ID 30
- Untagged Port auf dem 4208 dem VLAN 30 (BuHa) zuweisen und den 1810G mit dem BuHa Netz dort aufstecken. ACHTUNG: Dazu MUSS das BuHa und das Produktionsnetz natürlich in unterschiedlichen IP Netzen sein. Z.B. Produktion: 192.168.1.0 /24 und BuHa: 192.168.30.0 /24.
- IP Adresse auf dem 4208 dem VLAN 30 zuweisen
- Statische Default Route auf dem 4208 zum Lancom einrichten
- Auf dem Lancom statische Route ins BuHa Netz einrichten.
- Clients im BuHa IP Netz als Default Gateway die VLAN 30 IP Adresse des 4208 eintragen oder per DHCP beziehen lassen.
- Fertisch !
https://ictschule.com/2014/01/03/access-control-lists-acl-auf-hp-switch/
Das ist in 10 Minuten erledigt.
Patche ich jetzt nur von einem Switch zum anderen
Nein !Natürlich nicht, denn ohne VLAN Segmentierung wären dann Produktion und BuHa in einem gemeinsamen Netz.
Genau das was du ja NICHT willst !!
Liest dir bitte nochmal die Grundlagen von IP Routing durch:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
