Firewall - Router - DMZ

maxi1998
Goto Top
Hallo an alle,

ich benötige eure Beratung bezüglich Hardwareauswahl von Router und Firewall bzw. grundsätzlichem Aufbau zum nachfolgenden Beispiel:

Meine Ausgangslage:
Firma (ca. 450 Personen)
1. Stock: 7 Büros - je Büro ein Switch, die 7 Switches stehen in einem eigenen Verteilerraum
EG: 8 Büros - je Büro ein Switch, de 8 Switches stehen in einem eigenen Verteilerraum
Keller: Hauptswitch an dem die 7 Switches vom 1. Stock und die 8. Switches vom 2. Stock angebunden werden (10 Gbit/s LWL), Router, Hardware Firewall, 2 Server

Ich verwende Cisco L2 Switches (Meraki MS225). Jetzt muss ich einen passenden Router und eine Firewall raussuchen.

Da nur ein Server in der DMZ ist, hab ich gedacht, ich verwende nur eine Hardware Firewall mit WAN, LAN und DMZ Ports (z.B. Fortinet FG-100D).

Kann ich mir das dann so vorstellen:

Den Hauptswitch im Keller verbinde ich mit einem der LAN Ports der FW, den Router mit dem WAN Port der FW und die NIC des Server in der DMZ mit dem DMZ Port der FW.

Kann das so funktionieren? Wie wird das normalerweise realisiert? Welcher Router/welche FW wäre passend für diesen Einsatzzweck?

Sorry, ich bin noch Azubi. Versuche das ganze mit einem Beispiel besser nachvollziehen zu können.

Danke für Tipps und Ratschläge!

LG
Max

Content-Key: 1744011495

Url: https://administrator.de/contentid/1744011495

Ausgedruckt am: 18.05.2022 um 12:05 Uhr

Mitglied: aqui
aqui 20.01.2022 aktualisiert um 17:18:24 Uhr
Goto Top
Jetzt muss ich einen passenden Router und eine Firewall raussuchen.
Small oder Medium Branch Meraki MX. Ist Router und Firewall in einem:
https://meraki.cisco.com/product-catalog/security-and-sd-wan-mx/medium-b ...
Warum willst du denn wieder etwas anderes wenn du schon Meraki hast ? Das wäre ja ziemlich sinnfrei wieder einen weiteren Produktmix anzulegen, denn niemand erstellt sich freiwillig einen Infrastruktur Zoo. Liegt sicher an mangelnder Praxiserfahrung als Azubi.
So hast du eine zentrale Verwaltung aller deiner Infrastruktur Komponenten über das Meraki Dashboard. Besser kann man es doch gar nicht machen in dem Umfeld !
Ein Meraki Sizing Whitepaper hilft dir bei der Auswahl der richtigen MX Hardware:
https://meraki.cisco.com/product-collateral/mx-sizing-guide/?file

Wie ein redundantes Firmennetzwerk für 450 Mitarbeiter auszusehen hat zeigt dir dieses einfache Beispiel Design:
stackdesign
Mitglied: maxi1998
maxi1998 20.01.2022 um 19:53:40 Uhr
Goto Top
Super, danke für deinen tollen Tipp!

Stimmt, erleichtert die Verwaltung natürlich, wenn man keinen Produktmix hat.

Ich hab mich für den MX105 entschieden, weil er für bis zu 750 Nutzer geeignet ist und das Netz ja vielleicht noch erweitert wird.

Versteh ich das richtig? - Ich würde den DMZ Server dann ganz normal an einen LAN Port am MX105 anschließen. Für die DMZ gibt es ein eigenes VLAN und 1:1 NAT. Und dann konfiguriere ich die Firewall mit entsprechenden ACLs. Sodass halt interne Stationen und externe Stationen auf den Server zugreifen können, aber externe Stationen nicht auf interne Stationen.

Danke für die Grafik! Soweit ich das verstehe, brauche ich dann nur den Hauptswitch redundant? Also zwei Hauptswitche mit Spanning Tree? Und die beiden schließ ich dann an einen anderen LAN-Port am MX105 an. Für die einzelnen Büros gibt es auch eigene VLANs.

Würdest du auch die Router redundant machen?


Und mit einer Frage muss ich dich noch belästigen:
In jedem Büro gibt es auch einen Access-Point. Es soll zwei WLAN-Netzwerke geben: eins für die Firmen-Notebooks (eigenes VLAN) und ein Gäste-WLAN (eigenes VLAN) für die Privatgeräte der Mitarbeiter. Die Access Points müssen also Multi-SSIDs unterstützen. Für die Access-Points gibt es einen eigenen Switch in jedem Stockwerk, der dann natürlich wieder mit dem Hauptswitch verbunden ist.
Wie kann ich das denn am besten mit dem MX105 umsetzen? Super wäre natürlich auch wenn die APs Single-Point Setup unterstützen würden, damit die Konfiguration einfach ist.


VIELEN LIEBEN DANK!!!
Mitglied: tech-flare
tech-flare 20.01.2022 um 21:55:29 Uhr
Goto Top
Dafür gibt es die Meraki AccessPoints. Die verwaltest du auch über das Dashboard. Noch einfacher geht es fast nicht
Mitglied: aqui
aqui 21.01.2022 aktualisiert um 08:47:23 Uhr
Goto Top
Versteh ich das richtig? -
Jepp, genau richig verstanden.
brauche ich dann nur den Hauptswitch redundant? Also zwei Hauptswitche mit Spanning Tree?
Das ist richtig wobei man aber heute fast immer auf Spanning Tree verzichtet bzw. es nur noch im Edge macht zur Loop Protection. Deshalb das LAG Design oben.
Und mit einer Frage muss ich dich noch belästigen:
Das tust du nicht, denn dafür ist ein Forum wie dieses ja da ! ;-) face-wink
Kollege @tech-flare hat dazu aber oben schon die richtige Antwort gegeben....
https://meraki.cisco.com/de-de/products/wi-fi/
Mitglied: maxi1998
maxi1998 21.01.2022 um 18:21:50 Uhr
Goto Top
Danke für die Antwort :) face-smile

Eine Frage noch bzgl. DMZ: Der Webserver in der DMZ ist eine von 8 VMs, die auf einem ESXi Server laufen. Ich nutze VMware.
Muss ich dann auf dem ESXi virtuelle Switches erstellen? Also dass beispielsweise der virtuelle Switch 0 dann dem VLAN der DMZ und einer physischen NIC des Servers zugewiesen wird. Dann diese NIC mit dem Server-Switch verbinden und diesen Switch wiederum mit dem Router/Firewall . Oder muss ich die DMZ-Server-NIC direkt mit dem Router/Firewall verbinden?

LG
Mitglied: aqui
aqui 22.01.2022 um 08:51:33 Uhr
Goto Top
Muss ich dann auf dem ESXi virtuelle Switches erstellen?
Ja, zumindestens ein vSwitch muss vorhanden sein, wenn du auch mit tagged VLANs auf dem ESXi arbeitest. Es reicht aber der der im Dwefault angelegt ist.
Die beiden folgenden Threads beschreiben die Thematik an einem Beispiel:
https://administrator.de/content/detail.php?id=639239&nid=1030243#co ...
https://administrator.de/forum/sophos-software-appliance-utm-vlan-cisco- ...
Oder muss ich die DMZ-Server-NIC direkt mit dem Router/Firewall verbinden?
Nein, nicht zwingend. Das kann natürlich auch über eine normale VLAN Infrastruktur gemacht werden.
Mitglied: maxi1998
maxi1998 22.01.2022 um 12:47:11 Uhr
Goto Top
Super, danke für die Hilfe!

Ich hätt noch eine Frage bzgl. Lizenzierung:

Also soweit ich das verstanden habe, brauche ich für jeden Meraki Router und jeden Meraki Switch eine Lizenz. Und dann zusätzlich noch eine Lizenz, dass ich die Geräte zentral verwalten kann (also die Cloud Lizenz).

Das hab ich gefunden:
Switch: Meraki MS225-48LP Enterprise License and Support, 3 Jahre =>407,00 € (20 Switches => 8140 €)

Router: : Cisco Meraki MX105 3 year Advanced Security License and Support=>9,865,41 € (2 Router =>19 730,82 €)

Für die Meraki MR18 Access Points find ich keine Infos bzgl. Lizenzierung.

Und die Cloud Lizenz: Cisco Meraki LIC-ENT-3YR Cloud Lizenz => 220,00 Euro

Wären dann die Meraki Produkte richtig lizenziert oder hab ich da wo einen Denkfehler?

LG und DANKE
Mitglied: aqui
aqui 22.01.2022 um 19:58:26 Uhr
Goto Top
brauche ich für jeden Meraki Router und jeden Meraki Switch eine Lizenz.
Nein ! Mit der Meraki Lizenz du du eh ja für die Switches hast hast du die auch für den MX
Und dann zusätzlich noch eine Lizenz, dass ich die Geräte zentral verwalten kann
Nein ! Das ist Default. Das Wesen von Meraki ist ja gerade die Cloud Verwaltbarkeit. Die ist also immer per se schon "eingebaut". ;-) face-wink
Für die Meraki MR18 Access Points find ich keine Infos bzgl. Lizenzierung.
Benötigen auch keine...
Und die Cloud Lizenz: Cisco Meraki LIC-ENT-3YR Cloud Lizenz => 220,00 Euro
Das ist quasi einen Betriebszeit Lizenz die die haben. Die Geräte und ihre Funktionen benötigen keine Lizensierung. Du kaufst quasi nur Betriebszeit mit der Lizenz.
Wie du ja an der Bestellnummer sehen kannst ist das die 3 Jahres Lizenz. D.h. die Geräte rennen 3 Jahre dann musst du wieder nachlizensieren.
Es gibt nur diese "Betriebszeit" Lizenzen. Das ist ja das pfiffige an Meraki und auch der Grund warum schon die Switches angeschafft wurden.
Frag doch einfach den der sie beschafft hat. Der weiss das doch alles ! ;-) face-wink
Mitglied: tech-flare
tech-flare 22.01.2022 aktualisiert um 21:48:17 Uhr
Goto Top
Zitat von @aqui:

brauche ich für jeden Meraki Router und jeden Meraki Switch eine Lizenz.
Nein ! Mit der Meraki Lizenz du du eh ja für die Switches hast hast du die auch für den MX
Das kann ich leider so nicht unterstreichen. Wir betreiben hier derzeit über 580 Meraki Devices und du brauchst für jedes eine Lizenz. Ohne die Lizenzen kannst du die Geräte als briefbeschwerer verwenden.

Daher werden sie dir in der Bucht auch "hinterher geworfen".

Und dann zusätzlich noch eine Lizenz, dass ich die Geräte zentral verwalten kann
Nein ! Das ist Default. Das Wesen von Meraki ist ja gerade die Cloud Verwaltbarkeit. Die ist also immer per se schon "eingebaut". ;-) face-wink
Für die Meraki MR18 Access Points find ich keine Infos bzgl. Lizenzierung.
Benötigen auch keine...
Doch benötigst du auch...da gibt es sogar noch unterschiedliche

Wir betreiben eine Co Lizenz....da hat jede Lizenz eine Art "Punktzahl" nach verschiedenen kriterien....Modell, Lizenzdauer, Kosten etc....

Diese fleißen alle in einen Topf und es verlängert sich deine gesamt Lizenz.

Es gibt 2 unterschiedliche Austattungen bei den Lizenzen...Advanced und Enterprise, wobei die Advanced die höhere ist.

Wenn du 2 MX Firewall im HA WarmSpare Mode betreiben willst, musst du nur 1 lizenzieren.
Mitglied: aqui
aqui 23.01.2022 um 13:59:42 Uhr
Goto Top
Du hast natürlich Recht. Ich hatte nur versucht es "Azubi gerecht" etwas einfacher vom Verständnis zu halten... ;-) face-wink
Mitglied: maxi1998
maxi1998 23.01.2022 um 14:04:59 Uhr
Goto Top
Okay jetzt blick ich nicht mehr ganz durch.. also brauch ich schon die Lizenzen, die ich oben beschrieben habe?
Mitglied: aqui
aqui 23.01.2022 um 14:26:10 Uhr
Goto Top
Ja, das sind quasi immer "Betriebszeit" Lizenzen. Mit deinem o.a. Beispiel kaufst du dir quasi 3 Jahre (3YeaR) Betriebs- bzw. Nutzungszeit für die Systeme.
Meraki sind rein Cloud gemanagte Systeme. Aktivierst du sie nicht in der Cloud (mit der Lizenz) sind sie, wie Kollege @tech-flare schon, sagt Briefbeschwerer. Die Systeme sind nicht standalone manegebar.
Mitglied: aqui
aqui 03.02.2022 um 10:22:16 Uhr
Goto Top
Wenn's das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren !!
https://administrator.de/faq/32