5
Aufbau zweier Netzwerke über ein Switch zur Zugangskontrolle
Hi,
mein Anliegen ist ein wenig kompliziert.
Folgendes Problem besteht. Der Client-PC darf nur auf bestimmte Internetseiten zugreifen, an besten wäre es dass es überhaupt kein Inet-Zugriff hat. Der Inet-Zugriff soll nur über die VM auf dem Client möglich sein.
Ein Lösungsansatz besteht hierbei dies über VLAN zu realisieren, so dass auf dem Switch die Ports Axy (VLAN1) und Ports Axy (VLAN2) zugewiesen werden. Das Problem jedoch ist, das physikalisch nicht genügend Anschlüsse vorhanden sind um dies physikalisch zu realisieren, es sei den man kann jedem Port auf dem Switsch zwei VLANs zuweisen (also zum Bsp für Port A11 IP1: 10.13.15.66 und IP2:192.168.2.10). Bzgl VLAN kenne ich mich nicht besonders aus, falls es gehen sollte und der Switch unterstüzt dies, wäre es super.
Der zweite Ansatz ist wie folgt: Client-PC1 IP:10.13.15.66 GW:10.13.15.65 / VM1: 192.168.2.66 GW:192.168.2.1
Die IPs werden manuell fest vorgegeben, alles läauft über einen Switch. Wie gesagt, optimal wäre es natürlich wenn Client-PC zwei netzwerkkarten hätte, genügend Ports im Bodentank so das per VLAN oder über physikalisch getrennte Switches komplett unterschiedliche Netzwerke aufgebaut werden könnten.
Für Ideen oder aber bessere Lösungsansätze wäre ich dankbar.
mein Anliegen ist ein wenig kompliziert.
Folgendes Problem besteht. Der Client-PC darf nur auf bestimmte Internetseiten zugreifen, an besten wäre es dass es überhaupt kein Inet-Zugriff hat. Der Inet-Zugriff soll nur über die VM auf dem Client möglich sein.
Ein Lösungsansatz besteht hierbei dies über VLAN zu realisieren, so dass auf dem Switch die Ports Axy (VLAN1) und Ports Axy (VLAN2) zugewiesen werden. Das Problem jedoch ist, das physikalisch nicht genügend Anschlüsse vorhanden sind um dies physikalisch zu realisieren, es sei den man kann jedem Port auf dem Switsch zwei VLANs zuweisen (also zum Bsp für Port A11 IP1: 10.13.15.66 und IP2:192.168.2.10). Bzgl VLAN kenne ich mich nicht besonders aus, falls es gehen sollte und der Switch unterstüzt dies, wäre es super.
Der zweite Ansatz ist wie folgt: Client-PC1 IP:10.13.15.66 GW:10.13.15.65 / VM1: 192.168.2.66 GW:192.168.2.1
Die IPs werden manuell fest vorgegeben, alles läauft über einen Switch. Wie gesagt, optimal wäre es natürlich wenn Client-PC zwei netzwerkkarten hätte, genügend Ports im Bodentank so das per VLAN oder über physikalisch getrennte Switches komplett unterschiedliche Netzwerke aufgebaut werden könnten.
Für Ideen oder aber bessere Lösungsansätze wäre ich dankbar.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 204420
Url: https://administrator.de/contentid/204420
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
erster Lösungsansatz wäre - Du gibst mal das Modell des Switches an, hier rennen viele gute Netzwerker rum...
Gruß
24
erster Lösungsansatz wäre - Du gibst mal das Modell des Switches an, hier rennen viele gute Netzwerker rum...
Gruß
24
Die Beschreibung ist gelinde gesagt ziemlich wirr und konfus. Die mögliche Lösung völlig deplaziert und technisch falsch, denn Inernet Zugriffe löst man niemals (oder nur in seltenen Fällen) mit VLAN Zugehörigkeit. Wenn dann mit einer zusätzlichen Firewall !
Und ja: ein Switchport kann mehrere VLANs bedienen je nach Switch Hardware...das ist aber nicht das Thema hier.
Du solltest erstmal die grundlegenden technischen Fakten betrachten.
Damit ein Client Endgerät nicht ins Internet kommt kann man endweder:
a.) über die IP Adresse diesen am Router Client filtern, das wäre dann eine Lösung auf Layer 3 Basis (Routing) wie sie allgemein üblich ist. Im simpelsten Fall konfigurierst du diesem Client nur eine IP aber kein Gateway, dann ists auch aus mit dem Internet und nur lokales Arbeiten möglich. Jeder pfiffige PC Nutzer kann das aber in Sekundenschnelle ändern.
Diese Filter Lösung am Router lässt de facto nicht zu das einzelne Web Seiten gefiltert werden, denn dafür benötigt man einen HTTP Proxy oder Application Firewall. Klar denn so eine Filterung kann nur auf Anwendungsebene (HTTP Protokoll) passieren die ein Router gar nicht "sieht"
Diese Lösung kann also nur Internet JA oder NEIN für den Client filtern max. über den Port noch das Protokoll.
b.) diesen Client über einen HTTP Proxy (Squid etc.) oder eine Application Firewall schicken die dann gezielte URLs freigeben oder blocken kann.
Das sind die Rahmenbedingungen die du hast und du musst für dich klären was du dann final genau willst.
Ist es a.) machst du am Internet Router oder Firewall ganz einfach eine simple IP Filterliste ala Client xyz mit ip zyx to IP any: DENY
Damit kann dieser Client nur lokal arbeiten und kommt nicht ins Internet...fertig.
Option b.) erfordert eine zusätzliche HW mit einem z.B, kostenlosen Squid Proxy über den du den Client schickst und dann dort entsprechende URL filterst.
Warum du da so einen völlig unverständlichen Frickelkauderwelsch mit Switchport, zuwenig Ports, VLANs usw. phantasierst ist völlig unverständlich und lässt nur den Schlss zu das dir jegliche Fachkenntniss fehlt...oder du hast du nur gedrückt aus vollkommen falsch und verstehen wir hier nicht können um es mit Meister Yoda zu sagen...
WAS also hast du nun genau vor...??
Übrigens...was VLANs sind kannst du hier genau nachlesen:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
Und ja: ein Switchport kann mehrere VLANs bedienen je nach Switch Hardware...das ist aber nicht das Thema hier.
Du solltest erstmal die grundlegenden technischen Fakten betrachten.
Damit ein Client Endgerät nicht ins Internet kommt kann man endweder:
a.) über die IP Adresse diesen am Router Client filtern, das wäre dann eine Lösung auf Layer 3 Basis (Routing) wie sie allgemein üblich ist. Im simpelsten Fall konfigurierst du diesem Client nur eine IP aber kein Gateway, dann ists auch aus mit dem Internet und nur lokales Arbeiten möglich. Jeder pfiffige PC Nutzer kann das aber in Sekundenschnelle ändern.
Diese Filter Lösung am Router lässt de facto nicht zu das einzelne Web Seiten gefiltert werden, denn dafür benötigt man einen HTTP Proxy oder Application Firewall. Klar denn so eine Filterung kann nur auf Anwendungsebene (HTTP Protokoll) passieren die ein Router gar nicht "sieht"
Diese Lösung kann also nur Internet JA oder NEIN für den Client filtern max. über den Port noch das Protokoll.
b.) diesen Client über einen HTTP Proxy (Squid etc.) oder eine Application Firewall schicken die dann gezielte URLs freigeben oder blocken kann.
Das sind die Rahmenbedingungen die du hast und du musst für dich klären was du dann final genau willst.
Ist es a.) machst du am Internet Router oder Firewall ganz einfach eine simple IP Filterliste ala Client xyz mit ip zyx to IP any: DENY
Damit kann dieser Client nur lokal arbeiten und kommt nicht ins Internet...fertig.
Option b.) erfordert eine zusätzliche HW mit einem z.B, kostenlosen Squid Proxy über den du den Client schickst und dann dort entsprechende URL filterst.
Warum du da so einen völlig unverständlichen Frickelkauderwelsch mit Switchport, zuwenig Ports, VLANs usw. phantasierst ist völlig unverständlich und lässt nur den Schlss zu das dir jegliche Fachkenntniss fehlt...oder du hast du nur gedrückt aus vollkommen falsch und verstehen wir hier nicht können um es mit Meister Yoda zu sagen...
WAS also hast du nun genau vor...??
Übrigens...was VLANs sind kannst du hier genau nachlesen:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
nicht so schnell herablassend werden. Ich sehe schon das ich eventuell alles nicht so schön geschildert habe. Nochmal von vorne.Angenommen ich habe am an einem Arbeitsumfeld Mitarbeiter welche zwei PCs am Arbeitsplatz haben, ClientA und ClientB
ClientA:
Nur Applikationen die für die Arbeit bestimmt sind, MS Office, Email. Technisch bedingt Zugriff auf drei Websites erforderlich. Das mit der FW / Squid etc brauchst mir nicht zu erklären.
ClientB: Keine Applikationen .. reiner Internetzugriff
Switches: 2 x Netgear GS748TS
Adressbereich für Client-A 195.yyy.zzz.64/26 fest vorgegeben
Adressbereich für Client-B xyz individuell
Wieso weshalb, andere Baustelle.
Obiges stellen uns so vor das diese tatsächlich komplett getrennt sind, FW-A, Switch-A, Client-A und FW-B, Switch-B und FW-B.
Jetzt fügen wir hierbei Client-B als VM in Client-A hinein.
Nun könnte ich in Client-A zwei Netzwerkkarten einbauen NK-1 und NK-2 und portbasierten VLAN1 und VLAN2 aufbauen. Netzwerkkarten kein Problem jedoch sind pro Client in den Bodentanks drei Ports vorhanden. Diese werden für NW und Telefon genutzt. Also hab ich ein Port frei, ich könnte zumindest dies realisieren (aber der dadurch erhöht sich anzahl der Kabel da pro Client 2 Kabel (Client + VM) und im NS.
Jetzt kommt die Sache mit tagged VLAN. Wenn man tagtäglich mit VLAN zu tun hat ist vieles selbsterklärend, und bevor ich mehrere Stunden einiges durchtüftle, Frage ich lieber mal euch die eventuell Erfahrung haben.
Wenn ich 30 Client-A+VM habe und statt zwei NW nur eins nutze und mittels IEEE 802.1q ein VLAN aufbaue ... ist das totaler Mist oder generell kein Problem.
Ich hab mir dein VLAN-Einstieg angeschaut, tagged VLAN wird dort genutzt um Switches miteinander zu verbinden. In meinem Fall war die Idee halt 20 Ports zu taggen.
Ich denke wir kommen der Sache ein wenig näher ... bevor Du mich erschlägst ;)
Wir sind ja nicht herablassend nur wenn man in einem Fach Forum für Administratoren bei laienhafter Schilderung 20 mal nachfragen muss bis man einen technischen Sachverhalt geklärt hat dann "nervt" es schon ein klein wenig und die Nackenhaare kommen hoch. Also bitte auch mal die andere Seite verstehen !
Zurück zum Thema:
OK, abgeshen das du mit einem 195er IP Netz ein IANA reservietes Netz benutzt was dir nicht gehört gibt es zum Thema 2 mögliche Lösungen:
1.) Dynamische VLANs mit .1x:
Je nach Mac Adresse forwardet der Switch eingehende Packete dann in das VLAN x oder VLAN y. Dabei spielt es für den Switch keine Rolle ob die beiden Clients über einen billigen 5 Port Switch an seinem Port hängen oder als VM auf einer gemeinsamen HW sind. VM ist die sinnvollere Lösung da weniger HW Aufwand hier.
Bei einer VM arbeitet die Host NIC dann ganz einfach im Bridge Mode an der die VM hängt. Je nach Absender Mac Adresse vom Endgerät verteilt der Switchport dann die Pakete auf die VLANs.
Nachteil: Beide Maschinen sind in einer gemeinsamen Layer 2 Domain. Aus Sicherheitssicht nicht besonders toll aber machbar. Switchhardware muss dynamische VLANs supporten.
Vorteil: Ganz einfach ohne viel Aufwand umzusetzen, du kommst mit einem einzigen Switchport aus für beide Clients.
2.) Statische VLANs:
Da du die Vorgabe hast mit nur einem Port auszukommen kannst du hier bei statischen VLANs nur mit Tagging arbeiten, denn der Switchport muss den Traffic der Clients ja wieder den VLANs zuordnen können...logo ! Das macht er dann anahnd der VLAN Tag ID.
Dein Hypervisor muss dazu einen internen vSwitch supporten an dem du intern die VM und den Host anhängst. Den vSwitch Port nach draussen taggst du dann wie es in diesem Tutorial beschrieben ist:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Ohne vSwitch geht es auch wenn, dein Host VLAN dann immer untagged im default VLAN arbeitet was ja in deinem Setup mit nur 2 Client VLANs auch problemlos machbar ist.
Nachteil: Etwas aufwendigere Einrichtung, NIC Hardware muss Tagging mit 802.1q im Treiber supporten
Vorteil: Du kommst wieder mit einem einzigen Switchport aus für beide Clients.
Die Lösungen mit 2 physischen Ports ist ja erstmal irrelvant für dich da du die Resourcen nicht hast. Da geht dann natürlich auch alles aber das weisst du selber !
Das sind deine beiden Optionen ! Such dir die schönste raus !!
Natürlich sind tagged Ports NICHT auf Switch Uplinks beschränkt !
Logischerwesie können auch Server und Endgeräte mit Tagging arbeiten sofern deren NIC Treiber und HW das supportet was aber in der Regel heute alle Karten können sogar die von Billigheimer und Massenproduzent Realtek !
Zurück zum Thema:
OK, abgeshen das du mit einem 195er IP Netz ein IANA reservietes Netz benutzt was dir nicht gehört gibt es zum Thema 2 mögliche Lösungen:
1.) Dynamische VLANs mit .1x:
Je nach Mac Adresse forwardet der Switch eingehende Packete dann in das VLAN x oder VLAN y. Dabei spielt es für den Switch keine Rolle ob die beiden Clients über einen billigen 5 Port Switch an seinem Port hängen oder als VM auf einer gemeinsamen HW sind. VM ist die sinnvollere Lösung da weniger HW Aufwand hier.
Bei einer VM arbeitet die Host NIC dann ganz einfach im Bridge Mode an der die VM hängt. Je nach Absender Mac Adresse vom Endgerät verteilt der Switchport dann die Pakete auf die VLANs.
Nachteil: Beide Maschinen sind in einer gemeinsamen Layer 2 Domain. Aus Sicherheitssicht nicht besonders toll aber machbar. Switchhardware muss dynamische VLANs supporten.
Vorteil: Ganz einfach ohne viel Aufwand umzusetzen, du kommst mit einem einzigen Switchport aus für beide Clients.
2.) Statische VLANs:
Da du die Vorgabe hast mit nur einem Port auszukommen kannst du hier bei statischen VLANs nur mit Tagging arbeiten, denn der Switchport muss den Traffic der Clients ja wieder den VLANs zuordnen können...logo ! Das macht er dann anahnd der VLAN Tag ID.
Dein Hypervisor muss dazu einen internen vSwitch supporten an dem du intern die VM und den Host anhängst. Den vSwitch Port nach draussen taggst du dann wie es in diesem Tutorial beschrieben ist:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Ohne vSwitch geht es auch wenn, dein Host VLAN dann immer untagged im default VLAN arbeitet was ja in deinem Setup mit nur 2 Client VLANs auch problemlos machbar ist.
Nachteil: Etwas aufwendigere Einrichtung, NIC Hardware muss Tagging mit 802.1q im Treiber supporten
Vorteil: Du kommst wieder mit einem einzigen Switchport aus für beide Clients.
Die Lösungen mit 2 physischen Ports ist ja erstmal irrelvant für dich da du die Resourcen nicht hast. Da geht dann natürlich auch alles aber das weisst du selber !
Das sind deine beiden Optionen ! Such dir die schönste raus !!
Natürlich sind tagged Ports NICHT auf Switch Uplinks beschränkt !
Logischerwesie können auch Server und Endgeräte mit Tagging arbeiten sofern deren NIC Treiber und HW das supportet was aber in der Regel heute alle Karten können sogar die von Billigheimer und Massenproduzent Realtek !
Hi, vielen Dank
Ich hatte schon sowas vermutet, nun ist es jedoch glasklar. Zum 195er IP ... mir ist das schon klar ... aber ich habe das so übernommen, angeblich Vorgabe von ganz oben aus dem fernen Osten ;)
Ich hatte schon sowas vermutet, nun ist es jedoch glasklar. Zum 195er IP ... mir ist das schon klar ... aber ich habe das so übernommen, angeblich Vorgabe von ganz oben aus dem fernen Osten ;)
