8
Einseitiges VLAN Routing mit HP Procurve L3 Switch und Windows Server 2003
Ich habe ein Problem bezüglich Routing in VLANs.
Ich erstelle zurzeit ein Netzwerk mit insgesamt 10 VLANs.
Ich habe einen W2k3 Server der an eine HP Procurve L3 Switch angeschlossen ist.
An der Switch hängen dann nochmal insgesamt 10 Hubs (1 Hub pro VLAN) für die Clients.
Davon ist eins das Managment-Vlan (in dem auch der Server ist), 2 sind für Ausbilder Clients und 7 für Azubi Clients.
Die Konfiguration für die VLANs funktioniert soweit gut.
Standardmäßig hat natürlich kein Client zugriff auf ein Client aus einem anderen Netz.
Später sollen aber die Ausbilder mithilfe einer Lehrsoftware die Azubis überwachen können.
Dadurch brauchen die Ausbilder logischerweise Zugriff auf alle 7 Azubi VLANs.
Die Azubis aber wiederrum sollen gar kein Zugriff auf Clients aus anderen Netzen haben.
Beispiel von 3 VLANs:
Managment VLAN: 10.0.0.0/8
(Server) : 10.0.0.1/8
Ausbilder VLAN 1: 10.0.1.0/24
Azubi VLAN 1 10.0.3.0/24
Also einfach gesagt sollen alle Ausbilder Clients einen Ping auf alle Azubi Clients ausführen können, aber nicht andersherum zum Schutz der Ausbilder.
Meine Frage ist jetzt, ob das überhaupt möglich ist und wenn ja wie?
Ich bitte um eine schnelle Antwort.
Ich erstelle zurzeit ein Netzwerk mit insgesamt 10 VLANs.
Ich habe einen W2k3 Server der an eine HP Procurve L3 Switch angeschlossen ist.
An der Switch hängen dann nochmal insgesamt 10 Hubs (1 Hub pro VLAN) für die Clients.
Davon ist eins das Managment-Vlan (in dem auch der Server ist), 2 sind für Ausbilder Clients und 7 für Azubi Clients.
Die Konfiguration für die VLANs funktioniert soweit gut.
Standardmäßig hat natürlich kein Client zugriff auf ein Client aus einem anderen Netz.
Später sollen aber die Ausbilder mithilfe einer Lehrsoftware die Azubis überwachen können.
Dadurch brauchen die Ausbilder logischerweise Zugriff auf alle 7 Azubi VLANs.
Die Azubis aber wiederrum sollen gar kein Zugriff auf Clients aus anderen Netzen haben.
Beispiel von 3 VLANs:
Managment VLAN: 10.0.0.0/8
(Server) : 10.0.0.1/8
Ausbilder VLAN 1: 10.0.1.0/24
Azubi VLAN 1 10.0.3.0/24
Also einfach gesagt sollen alle Ausbilder Clients einen Ping auf alle Azubi Clients ausführen können, aber nicht andersherum zum Schutz der Ausbilder.
Meine Frage ist jetzt, ob das überhaupt möglich ist und wenn ja wie?
Ich bitte um eine schnelle Antwort.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 152278
Url: https://administrator.de/contentid/152278
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
8 Kommentare
Neuester Kommentar
Ja, das ist natürlich problemlos möglich:
Zum "WIE" guckst du hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
oder
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das sollte alle deine Fragen beantworten !
Du blockst dann einfach im AZUBI VLAN Interface ICMP echo (Ping) Pakete in der (Windows) Firewall...fertisch ! Ist ne Sache von 30 Sekunden per Mausklick.
<edit>
Sorry, hab gerade gesehen das du einen L3 Switch hast. Dann ists natürlich noch viel einfacher denn du benötigst logischerweise keinen externen Router !
Du bindest dann die ICMP Accessliste einfach ans VLAN IP Interface des Azubi VLANs...fertig ist der Lack !
</edit>
Einen schlimmen Kardinalsfehler hast du noch oben beim IP Adressdesign gemacht. Entweder Unwissenheit oder ein Druck- oder Denkfehler ?!:
Das Management VLAN darf niemals eine 8er Subnetzmaske haben wenn die restlichen VLANs im gleichen IP Netz mit einer 24er Maske liegen. Der Router kann die Netze dann nicht mehr routen ! Klar... wenn das Mangement IP Netz mit der 8er Maske alle anderen 10er VLAN Netze mit 24er Maske als eigene Hostadressen schon beinhaltet.
Das geht also de facto nicht weil so das Routing unmöglich wird !
Entweder nimmst du das Management Netz in eine anderes IP Netz wie z.B. 172.16.0.0 /16 oder subnettest das Mangement Netz ebenfalls mit einer 24er Maske oder kleiner also 10.0.0.0 /24, dann wird ein Schuh draus !
Zum "WIE" guckst du hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
oder
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das sollte alle deine Fragen beantworten !
Du blockst dann einfach im AZUBI VLAN Interface ICMP echo (Ping) Pakete in der (Windows) Firewall...fertisch ! Ist ne Sache von 30 Sekunden per Mausklick.
<edit>
Sorry, hab gerade gesehen das du einen L3 Switch hast. Dann ists natürlich noch viel einfacher denn du benötigst logischerweise keinen externen Router !
Du bindest dann die ICMP Accessliste einfach ans VLAN IP Interface des Azubi VLANs...fertig ist der Lack !
</edit>
Einen schlimmen Kardinalsfehler hast du noch oben beim IP Adressdesign gemacht. Entweder Unwissenheit oder ein Druck- oder Denkfehler ?!:
Das Management VLAN darf niemals eine 8er Subnetzmaske haben wenn die restlichen VLANs im gleichen IP Netz mit einer 24er Maske liegen. Der Router kann die Netze dann nicht mehr routen ! Klar... wenn das Mangement IP Netz mit der 8er Maske alle anderen 10er VLAN Netze mit 24er Maske als eigene Hostadressen schon beinhaltet.
Das geht also de facto nicht weil so das Routing unmöglich wird !
Entweder nimmst du das Management Netz in eine anderes IP Netz wie z.B. 172.16.0.0 /16 oder subnettest das Mangement Netz ebenfalls mit einer 24er Maske oder kleiner also 10.0.0.0 /24, dann wird ein Schuh draus !
Danke für die schnelle Antwort.
Hätte ich eig auch selbst drauf kommen können.
Hab jetzt einfach in der Registry den Wert von IPEnableRouter auf "1" gesetzt und dann die Azubi VLANs mit der Firewall geblockt.
Hätte ich eig auch selbst drauf kommen können.
Hab jetzt einfach in der Registry den Wert von IPEnableRouter auf "1" gesetzt und dann die Azubi VLANs mit der Firewall geblockt.
Ist aber eigentlich überflüssiger Unsinn wenn du einen Layer 3 fähigen also einen Routing Switch hast. Denn dann ist es eigentlich völliger Blödsinn über den Server zu routen wenn es der Switch selber kann, denn der kann das besser und performanter. Zusätzlich hast du die Security auf der Infrastruktur und nicht auf einem Server. Die Gefahr eines doppelten "Backdoor Routers" besteht damit zusätzlich. Ist also erheblich wasserdicher den Switch selber zu verwenden. Vollkommen unverständlich wenn man schon sowas gutes wie einen L3 Switch im Einsatz hat. Nundenn...
Letztlich aber deine Entscheidung....
Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Letztlich aber deine Entscheidung....
Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Stimmt auch wieder. Allerdings versteh ich nicht wirklich, wie du das meinst mit der ICMP-Adressliste an die VLAN IP binden.
Könntest du etwas genauer erklären, wie man das macht.
Könntest du etwas genauer erklären, wie man das macht.
Dein HP L3 Switch (wenn du denn das Layer 3 Forwarding auf dem Switch und nicht auf dem Server machst wie es in der Regel üblich ist bei Verwendung eines L3 Switches), hat logischerweise in jedem VLAN eine IP Adresse, die für die Clients auch gleichzeitig das Gateway ist !
Auf dem HP kannst du dann Accesslisten konfigurieren, die du an diesen Interfaces aktivierst um bestimmte Pakete zu blocken.
Letztlich genau das was du am Server extern machst.
Also man definiert eine Liste wie z.B.
access-list noazubi deny icmp 10.0.1.0 0.0.0.255 any typ echo
Dann aktiviert man diese ACL am VLAN Interface:
vlan 1
untagged eth 1 to 10
ip address 10.1.0.254 255.255.255.0
ip access-group noazubi in
Wenn du mal dein HP Modell posten würdest lesen wir für dich hier gerne mal das Handbuch wie man diese ACLs aufsetzt ! Oben ist das etwas ciscoisierte Syntax.
Auf dem HP kannst du dann Accesslisten konfigurieren, die du an diesen Interfaces aktivierst um bestimmte Pakete zu blocken.
Letztlich genau das was du am Server extern machst.
Also man definiert eine Liste wie z.B.
access-list noazubi deny icmp 10.0.1.0 0.0.0.255 any typ echo
Dann aktiviert man diese ACL am VLAN Interface:
vlan 1
untagged eth 1 to 10
ip address 10.1.0.254 255.255.255.0
ip access-group noazubi in
Wenn du mal dein HP Modell posten würdest lesen wir für dich hier gerne mal das Handbuch wie man diese ACLs aufsetzt ! Oben ist das etwas ciscoisierte Syntax.
Ich benutzte ein HP Procurve Switch 2650, also die 2600 series.
Wäre sehr nett, wenn du mir noch weiter Infos geben könntest.
gruß
Wäre sehr nett, wenn du mir noch weiter Infos geben könntest.
gruß
IP Adressing with multiple VLANs ist das Zauberwort ! Steht im Handbuch im Kapitel 8-4 !
http://ftp.hp.com/pub/networking/software/Mgmt-Oct2005-59906023-Chap08. ...
Der rest steht im Routing Handbuch:
http://ftp.hp.com/pub/networking/software/AdvTraff-Oct2005-59908853-Cha ...
Mehr als IP Adressen pro VLAN eintragen musst du nicht. Ggf. noch eine default Route auf den Internet Router. Fertig !
In jedem VLAN ist dann die Switch IP das Default Gateway (Standardgateway). Damit routet dann der Switch zwischen den VLANs !!
Einfacher gehts ja nun wirklich nicht ?!
http://ftp.hp.com/pub/networking/software/Mgmt-Oct2005-59906023-Chap08. ...
Der rest steht im Routing Handbuch:
http://ftp.hp.com/pub/networking/software/AdvTraff-Oct2005-59908853-Cha ...
Mehr als IP Adressen pro VLAN eintragen musst du nicht. Ggf. noch eine default Route auf den Internet Router. Fertig !
In jedem VLAN ist dann die Switch IP das Default Gateway (Standardgateway). Damit routet dann der Switch zwischen den VLANs !!
Einfacher gehts ja nun wirklich nicht ?!
Ok, das funktioniert zwar alles ganz toll, aber damit hat sich immernoch nicht meine Frage beantwortet, wie ich nur einseitig route. Das ist ja der Knackpunkt.
Wenn ich nur einem Client das Standardgateway zuweis kommt ja logischerweise keine Verbindung zustande.
Wenn ich es beiden zuweise, können sich beide anpingen.
Gut wäre, wenn ich am Switch für jedes VLAN einzelne Ports öffnen könnte, so wie bei einem Router halt.
Aber ich habe nichts dazu gefunden.
Ansonsten könnte man ja noch vll über die GPOs Firewallconfigs verteilen, aber das ist auch nicht gerade die eleganteste Methode, oder?
Hat jemand eine Idee?
Wenn ich nur einem Client das Standardgateway zuweis kommt ja logischerweise keine Verbindung zustande.
Wenn ich es beiden zuweise, können sich beide anpingen.
Gut wäre, wenn ich am Switch für jedes VLAN einzelne Ports öffnen könnte, so wie bei einem Router halt.
Aber ich habe nichts dazu gefunden.
Ansonsten könnte man ja noch vll über die GPOs Firewallconfigs verteilen, aber das ist auch nicht gerade die eleganteste Methode, oder?
Hat jemand eine Idee?
