johndorian
Goto Top

Designfrage - viele VLAN interfaces oder ein physikalisches Interface an Firewall?

Hallo zusammen,

ich stehe momentan in meiner Firma kurz vor der Neustrukturierung unseres Netzwerks.
Ganz grob sieht das ganze so aus:
0e5b4fd9f3734ff3bb3833cc3e8f8ffc

Vorgesehen hatte ich für das Routing ins Internet ein eigenes Subnet (VLAN99) mit zwei Adressen, nämlich dem Subinterface am Router und dem Interface an der Firewall.
Auf der Firewall hätte ich dann Netzwerkdefinitionen für die Subnets angelegt um so den Netzwerkverkehr zwischen Subnets und Internet zu regulieren.

Ich kann auf der Firewall (die auch Proxy ist) jedoch ebenfalls Subinterfaces für VLAN's anlegen. Wäre es jetzt besser, die VLAN's auf dem Switchport am Firewall-Interface zu Taggen und auf der Firewall Subinterfaces anzulegen? Dann gäbe es eben für jedes Subnet eine eigene Proxy-IP für die Kommunikation ins Internet, während das Standard-Gateway immer noch das Interface auf dem Router wäre.

Versteht ihr was ich meine und könnt ihr mir da weiterhelfen, welche Version die bessere ist? Bzw. ob und warum eine der Versionen evtl. nicht funktionieren könnte?

Grüße, JD

Content-ID: 298046

Url: https://administrator.de/contentid/298046

Printed on: November 6, 2024 at 08:11 o'clock

108012
108012 Mar 03, 2016 at 13:15:23 (UTC)
Goto Top
Hallo,

also wenn ich das richtig verstanden habe sollten dort zwei Geräte zusammen arbeiten, ein
Router und eine Firewall und die sollen dann mittels gebridgeden Ports arbeiten, oder?
Also die Firewall soll dann transparent arbeiten und der Router macht nur SPI & NAT
und das LAN wird dann mittels Firewallregeln gesichert, ist das so richtig?

Halte ich persönlich für den größten Mist den es gibt, funktioniert nur ab und an ordentlich
und meist nur mit viel Gefrickel und genau das sollte nicht am WAN Port und bezüglich
der Sicherheit nicht sein. Ich würde das einfach so halten wie alle anderen auch, entweder
ein Router am WAN Port oder eine Firewall am WAN Port und die bauen dann eine DMZ
und eine LAN Umgebung auf. Oder aber wenn es denn wirklich sein muss dann eben zwei
Router oder zwei Firewalls oder ein Router und eine Firewall aber ohne die Ports zu
bridgen sondern mittels Routing.

bbd925e0d8d4f6625fff42c9a52d6c9e

Gruß
Dobby
JohnDorian
JohnDorian Mar 08, 2016 at 11:49:16 (UTC)
Goto Top
Hi Dobby,

Danke erstmal!
Meine Lösung war schon eher so angedacht wie du das in deiner Grafik beschrieben hast. Evtl. hab ich eine ungünstige Grafik und umständliche Worte verwendet um es zu beschreiben :D

Die Frage ist eigentlich nur, zwischen dem Port an der UTM und dem Layer-3-Switch - hier ein eigenes VLAN anlegen und die Pakete durchrouten? Oder aber durch beide Ports getaggte Pakete durschicken und für jedes VLAN sein eigenes Subinterface an der UTM anlegen.

Verstehst du was ich meine?
Gefühlsmäßig ist die erste Lösung die bessere...

Gruß, JD
108012
Solution 108012 Mar 08, 2016 at 16:40:57 (UTC)
Goto Top
Hallo,

für die DMZ und die Server darin legst Du kein VLAN an und für den LAN Switch
muss man ein VLAN anlegen in dem dann die IP der UTM auch das Gateway von
diesem VLAN ist, fertig.

Gruß
Dobby
freili
Solution freili Mar 22, 2016 at 20:52:21 (UTC)
Goto Top
Hallo Dorian!

Prinzipiell ist das "Dobby-Design" zu empfehlen: der L3-Switch soll intern routen und die UTM "nur" mit dem Verkehr ins WAN/DMZ zu tun haben. Wenn Du allerdings zwischen den internen VLAN's nicht einfach nur routen willst, sondern den Zugriff steuern möchtest, dann würde ich zur Lösung mit den verschieden VLAN-Interfaces in der UTM übergehen.

Gruß Freili