Designfrage - viele VLAN interfaces oder ein physikalisches Interface an Firewall?

Mitglied: JohnDorian

JohnDorian (Level 2) - Jetzt verbinden

03.03.2016 um 11:50 Uhr, 1112 Aufrufe, 4 Kommentare

Hallo zusammen,

ich stehe momentan in meiner Firma kurz vor der Neustrukturierung unseres Netzwerks.
Ganz grob sieht das ganze so aus:
0e5b4fd9f3734ff3bb3833cc3e8f8ffc - Klicke auf das Bild, um es zu vergrößern

Vorgesehen hatte ich für das Routing ins Internet ein eigenes Subnet (VLAN99) mit zwei Adressen, nämlich dem Subinterface am Router und dem Interface an der Firewall.
Auf der Firewall hätte ich dann Netzwerkdefinitionen für die Subnets angelegt um so den Netzwerkverkehr zwischen Subnets und Internet zu regulieren.

Ich kann auf der Firewall (die auch Proxy ist) jedoch ebenfalls Subinterfaces für VLAN's anlegen. Wäre es jetzt besser, die VLAN's auf dem Switchport am Firewall-Interface zu Taggen und auf der Firewall Subinterfaces anzulegen? Dann gäbe es eben für jedes Subnet eine eigene Proxy-IP für die Kommunikation ins Internet, während das Standard-Gateway immer noch das Interface auf dem Router wäre.

Versteht ihr was ich meine und könnt ihr mir da weiterhelfen, welche Version die bessere ist? Bzw. ob und warum eine der Versionen evtl. nicht funktionieren könnte?

Grüße, JD
Mitglied: Dobby
03.03.2016 um 14:15 Uhr
Hallo,

also wenn ich das richtig verstanden habe sollten dort zwei Geräte zusammen arbeiten, ein
Router und eine Firewall und die sollen dann mittels gebridgeden Ports arbeiten, oder?
Also die Firewall soll dann transparent arbeiten und der Router macht nur SPI & NAT
und das LAN wird dann mittels Firewallregeln gesichert, ist das so richtig?

Halte ich persönlich für den größten Mist den es gibt, funktioniert nur ab und an ordentlich
und meist nur mit viel Gefrickel und genau das sollte nicht am WAN Port und bezüglich
der Sicherheit nicht sein. Ich würde das einfach so halten wie alle anderen auch, entweder
ein Router am WAN Port oder eine Firewall am WAN Port und die bauen dann eine DMZ
und eine LAN Umgebung auf. Oder aber wenn es denn wirklich sein muss dann eben zwei
Router oder zwei Firewalls oder ein Router und eine Firewall aber ohne die Ports zu
bridgen sondern mittels Routing.

bbd925e0d8d4f6625fff42c9a52d6c9e - Klicke auf das Bild, um es zu vergrößern

Gruß
Dobby

Bitte warten ..
Mitglied: JohnDorian
08.03.2016 um 12:49 Uhr
Hi Dobby,

Danke erstmal!
Meine Lösung war schon eher so angedacht wie du das in deiner Grafik beschrieben hast. Evtl. hab ich eine ungünstige Grafik und umständliche Worte verwendet um es zu beschreiben :D

Die Frage ist eigentlich nur, zwischen dem Port an der UTM und dem Layer-3-Switch - hier ein eigenes VLAN anlegen und die Pakete durchrouten? Oder aber durch beide Ports getaggte Pakete durschicken und für jedes VLAN sein eigenes Subinterface an der UTM anlegen.

Verstehst du was ich meine?
Gefühlsmäßig ist die erste Lösung die bessere...

Gruß, JD
Bitte warten ..
Mitglied: Dobby
LÖSUNG 08.03.2016 um 17:40 Uhr
Hallo,

für die DMZ und die Server darin legst Du kein VLAN an und für den LAN Switch
muss man ein VLAN anlegen in dem dann die IP der UTM auch das Gateway von
diesem VLAN ist, fertig.

Gruß
Dobby

Bitte warten ..
Mitglied: freili
LÖSUNG 22.03.2016 um 21:52 Uhr
Hallo Dorian!

Prinzipiell ist das "Dobby-Design" zu empfehlen: der L3-Switch soll intern routen und die UTM "nur" mit dem Verkehr ins WAN/DMZ zu tun haben. Wenn Du allerdings zwischen den internen VLAN's nicht einfach nur routen willst, sondern den Zugriff steuern möchtest, dann würde ich zur Lösung mit den verschieden VLAN-Interfaces in der UTM übergehen.

Gruß Freili
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 14 StundenAllgemeinOff Topic47 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Batch & Shell
Wieso funktioniert das nicht?
gelöst Hundy132Vor 1 TagFrageBatch & Shell10 Kommentare

Hallo Freunde, kann mir irgendjemand sagen wieso meine Batch datei nicht funktioniert? So sieht Sie aus: Hier soll ein ein vorgegebenes Passwort Eingegeben werden ...

Router & Routing
Probleme mit VPN Verbindung über shrewsoft
martenkVor 1 TagFrageRouter & Routing25 Kommentare

Hallo Gemeinschaft, habe ein Problem mit der o.g. Verbindung die Verbindung wird aufgebaut und ich kann auch den entfernten Rechner anpingen unter ipconfig sehe ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 22 StundenFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Exchange Server
Outlook Automatisch auf alle eingehendem Mail eine Antwortvorlage versenden
shooanVor 1 TagFrageExchange Server12 Kommentare

Guten Morgen, ich hätte da gerne mal ein Problem zur Lösung. Auf das Freigegeben Postfach Bewerbung@ wünscht nun die Führung das auf alle Mail ...

Exchange Server
Transparente Mail-Archivierung Exch. 2016 m. direktem Outlook-Zugriff
departure69Vor 1 TagFrageExchange Server17 Kommentare

Hallo. - Windows 2016 AD-Domäne, 2 DCs unter W2K16 Std. (1 x physisch, 1 x virtuell unter Hyper-V), Funktionsebene 2016 - Exchange 2016 unter ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...