9
Access-Switch Gateway IP
Guten Morgen,
ich habe folgendes Netzwerk.
Firewall IP 192.168.20.254 --> 192.168.20.0/24 wird von der Firewall geroutet
Core-Switch IP 192.168.20.250 --> Der Switch ist direkt an das Interface der Firewall angeschlossen.
Access-Switch IP 192.168.20.249 --> Der Switch ist direkt an den Core-Switch angeschlossen.
Der Core Switch routet selber noch folgende Netze, welche über einen Trunk tagged an den Access Switch weitergegeben werden:
192.168.30.0/24
192.168.40.0/24
Ansonsten gibt er per Default-Route alles an die Firewall weiter.
Meine Frage ist jetzt, welches Gateway soll ich bei dem Access Switch eintragen?
Ist es die IP von dem Core-Switch also 192.168.20.250 oder muss die IP von der Firewall 192.168.20.254 eingetragen werden?
Ich habe beides ausprobiert und mit jeder Einstellung kann ich auf das Internet und auch auf die Netze zugreifen, welche die Firewall routet.
Nun stellt sich mir die Frage, welche Einstellung effektiver ist, weil wenn ich die IP von der Firewall nutze und auf ein Netzwerk, welches von dem Core-Switch geroutet wird, zugreifen möchte, dann geht es doch erstmal über den Core-Switch, dann zur Firewall und diese gibt es dann an den Core-Switch zurück.
Ist das so richtig oder habe ich da einen Denkfehler drin?
Vielen Dank für die Hilfe.
ich habe folgendes Netzwerk.
Firewall IP 192.168.20.254 --> 192.168.20.0/24 wird von der Firewall geroutet
Core-Switch IP 192.168.20.250 --> Der Switch ist direkt an das Interface der Firewall angeschlossen.
Access-Switch IP 192.168.20.249 --> Der Switch ist direkt an den Core-Switch angeschlossen.
Der Core Switch routet selber noch folgende Netze, welche über einen Trunk tagged an den Access Switch weitergegeben werden:
192.168.30.0/24
192.168.40.0/24
Ansonsten gibt er per Default-Route alles an die Firewall weiter.
Meine Frage ist jetzt, welches Gateway soll ich bei dem Access Switch eintragen?
Ist es die IP von dem Core-Switch also 192.168.20.250 oder muss die IP von der Firewall 192.168.20.254 eingetragen werden?
Ich habe beides ausprobiert und mit jeder Einstellung kann ich auf das Internet und auch auf die Netze zugreifen, welche die Firewall routet.
Nun stellt sich mir die Frage, welche Einstellung effektiver ist, weil wenn ich die IP von der Firewall nutze und auf ein Netzwerk, welches von dem Core-Switch geroutet wird, zugreifen möchte, dann geht es doch erstmal über den Core-Switch, dann zur Firewall und diese gibt es dann an den Core-Switch zurück.
Ist das so richtig oder habe ich da einen Denkfehler drin?
Vielen Dank für die Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6834004773
Url: https://administrator.de/contentid/6834004773
Printed on: April 28, 2024 at 07:04 o'clock
9 Comments
Latest comment
Moin,
normalerweise handelt es sich beim Access Switch um einen L2 Switch. Das Gateway wird vom Switch also rein für das Management "genutzt". Mit dem Routing der Clientpakete hat das nichts zu tun.
lg,
Slainte
normalerweise handelt es sich beim Access Switch um einen L2 Switch. Das Gateway wird vom Switch also rein für das Management "genutzt". Mit dem Routing der Clientpakete hat das nichts zu tun.
lg,
Slainte
Wenn der Core Switch eine Default Route Richtung FW hat dann nim den Core Switch.
Der Core "weiß" ja dann wo die Pakete hin müssen. Weil entweder "direct connected" oder über die Def.Route ins WAN über die FW.
Bedenke bitte das sich das Standard Gateway immer im SELBEN Subnetz befinden muss.
Heiß dann für das Netz 192.168.30.0/24 muss auf dem Switch eine IP eingerichtet sein und für das Netz 192.168.40.0/24
ebenfalls. Dann noch das ganze Routing auf dem Switch. Default Route auf die Firewall und dann gehts.
Client 192.168.30.111 --->Client Switch VLAN --> Core Switch Gateway IP 192.168.30.254 ---> Firewall --> WAN
Der Core "weiß" ja dann wo die Pakete hin müssen. Weil entweder "direct connected" oder über die Def.Route ins WAN über die FW.
Bedenke bitte das sich das Standard Gateway immer im SELBEN Subnetz befinden muss.
Heiß dann für das Netz 192.168.30.0/24 muss auf dem Switch eine IP eingerichtet sein und für das Netz 192.168.40.0/24
ebenfalls. Dann noch das ganze Routing auf dem Switch. Default Route auf die Firewall und dann gehts.
Client 192.168.30.111 --->Client Switch VLAN --> Core Switch Gateway IP 192.168.30.254 ---> Firewall --> WAN
Noch als Ergänzug der Access-Switch ist L3 Switch, weil es kein L2-Image gibt.
Ich würde dann einfach folgende Route bei L3 Switch eintragen:
0.0.0.0/0 192.168.30.250
So funktioniert alles und ich komme auch in die Netze, welcher der Core-Switch routet.
Ich würde dann einfach folgende Route bei L3 Switch eintragen:
0.0.0.0/0 192.168.30.250
So funktioniert alles und ich komme auch in die Netze, welcher der Core-Switch routet.
welches Gateway soll ich bei dem Access Switch eintragen?
Wenn du es richtig gemacht hast sollte sich die Frage gar nicht erst stellen!!Das 20er VLAN bekommt auf dem Core Switch kein IP Interface!! Sprich, es kann auch dem Core Siwtch physisch gar nicht geroutet werden.
Das ist absolute Pflicht beim Setup des VLAN 20 über den Core ansonsten hast du dort eine gefährliche Backdoor Route und kannst die Firewall umgehen. Mieses L3 Design!
Noch als Ergänzug der Access-Switch ist L3 Switch
Dann aktivierst du dort im Setip kein L3. Der Switch arbeitet ja dann nur im L2 Mode!Fazit:
- Kein IP Interface im VLAN 20 auf dem Core! Damit ist das 20er Netz IP technisch gar nicht auf dem Core erreichbar (Sicherheit!). Das 20er VLAN wird dort rein im Layer 2 durchgereicht!
- Gateway IP im 20er Netz ist dann natürlich die Firewall! Was auch sonst? Es gibt ja, wenn man es richtig einrichtet, gar kein weiteres Gateway dort und die Firewall routet ja dieses 20er Netz wie du selber schreibst.
Naja, aber ich möchte dem Core Switch ja schon eine IP vergeben und dann muss ich doch auf diesem ein virtuelles Interface einrichten, in welchem ich die IP definieren oder nicht?
Ja dann muss ich mal schauen, wie ich das deaktivieren kann, weil es von den Werkseinstellungen schon aktiviert ist.
Ja dann muss ich mal schauen, wie ich das deaktivieren kann, weil es von den Werkseinstellungen schon aktiviert ist.
aber ich möchte dem Core Switch ja schon eine IP vergeben und dann muss ich doch auf diesem ein virtuelles Interface einrichten, in welchem ich die IP definieren oder nicht?
Nein, das wäre doch komplett unsinnig und zudem auch noch hochgefährlich wenn du das 20er VLAN dort mit einer IP einrichtest.Logisch, denn damit erhälst du ein potentielles Routing Interface auf dem L3 Core was du ja aber keinesfalls willst wenn z.B. dein VLAN 20 ein Gastnetz ist mit unbekannten Usern. Die könnten so einfach und problemlos die Firewall umgehen und hätten alle internen VLANs am L3 Core Switch auf dem Silbertablett. Sicher nicht was du mit der Isolation des VLAN 20 erreichen willst, oder?
Das soll ja wohl aus Sicherheitsgründen ausschliesslich nur über die Firewall geroutet werden was ja auch sinnvoll ist, zumindestens für Gastnetze oder Netze die nicht bekannte Endgeräte enthalten.
Mit einem IP Interface auf dem L3 Core hebelst du die Firewallsicherheit komplett aus und führst das Routing des VLAN 20 darüber dann ad absurdum.
Deshalb darf niemals ein IP Interface für das VLAN 20 auf dem L3 Core Switch eingerichtet werden, das ist absolut Tabu wenn du sicher sein willst.
Der Coreswitch leitet das VLAN 20 in einen guten und sicheren Design rein nur im Layer 2 vom Access weiter und die einzige IP Schnittstelle darin ist die Firewall.
weil es von den Werkseinstellungen schon aktiviert ist.
Sorry aber das ist Unsinn!Kein L3 Switch auf der Welt legt beim Konfigurieren eines VLANs automatisch ein L3 Interface an. Du solltest mal besser das Handbuch des Switches lesen!!
Ahh okay, vielen Dank für die ausführliche Erklärung. In diesem Fall wird soll das 20er Netz das Management Netz sein für den Core Switch und für den Unterverteiler.
Die Netze, welches der Core-Switch routet dürfen sowieso untereinander kommunizieren.
Die Netze, welches der Core-Switch routet dürfen sowieso untereinander kommunizieren.
OK, das war aus der Threadbeschreibung nicht ganz klar. Sorry...
Ein getrenntes Management Netz ist natürlich immer sehr sinnvoll in einem Campus Design. Wenn es also das Management VLAN ist, dann muss das natürlich an allen Infrastruktur Komponenten anliegen, da hast du Recht.
Als Gateway solltest du dann immer den L3 Core Switch eintragen für alle Komponenten, da du das Management VLAN ja immer nur intern nutzt.
Folglich sollte dann auf der Firewall eine entsprechende Regel gesetzt sein die den Management Zugriff rein nur aus den Admin VLAN Netzen erlaubt und ein Routing ins Internet aus dem VLAN 20 geblockt wird.
So ist immer sichergestellt das das VLAN 20 Management an der Firewall nur für den Management Zugang genutzt werden kann und nicht als Backdoor Default Gateway ins Internet! (Sicherheit!)
Entsprechend dann auch eine IP Accessliste auf dem L3 Core der ebenfalls den Zugang aufs VLAN 20 nur aus den internen Admin VLAN Netzen erlaubt.
Ein getrenntes Management Netz ist natürlich immer sehr sinnvoll in einem Campus Design. Wenn es also das Management VLAN ist, dann muss das natürlich an allen Infrastruktur Komponenten anliegen, da hast du Recht.
Als Gateway solltest du dann immer den L3 Core Switch eintragen für alle Komponenten, da du das Management VLAN ja immer nur intern nutzt.
Folglich sollte dann auf der Firewall eine entsprechende Regel gesetzt sein die den Management Zugriff rein nur aus den Admin VLAN Netzen erlaubt und ein Routing ins Internet aus dem VLAN 20 geblockt wird.
So ist immer sichergestellt das das VLAN 20 Management an der Firewall nur für den Management Zugang genutzt werden kann und nicht als Backdoor Default Gateway ins Internet! (Sicherheit!)
Entsprechend dann auch eine IP Accessliste auf dem L3 Core der ebenfalls den Zugang aufs VLAN 20 nur aus den internen Admin VLAN Netzen erlaubt.
Vielen Dank, für Hilfe und die Tipps.
Ja, das mit dem Management-Netzwerk hätte ich erwähnen müssen.
Ich denke, ich weiß jetzt wie ich das einrichten muss, sodass ich den Thread schließen kann.
Ja, das mit dem Management-Netzwerk hätte ich erwähnen müssen.
Ich denke, ich weiß jetzt wie ich das einrichten muss, sodass ich den Thread schließen kann.
1
