olly
Goto Top

Frage zu Einrichtung VLAN

Hallo,
ich habe ein Problem, das ich noch nicht so wirklich greifen kann, weil ich mir das Thema VLAN’s noch nicht wirklich sicher bin.
Folgende Konstellation:

Internes Netzwerk: 172.16.0.0 Netzmaske 255.255.0.0 Gateway(Firewall Juniper SSG140) 172.16.1.250 = VLAN-1 (Standard)
So.
Nun haben wir ein VLAN20 auf den entsprechenden Switchen (HP-2910) angelegt.
Das VLAN funktioniert, wie es soll. Und zwar:

IP-Adressen von 172.16.21.1 – 172.16.21.255 (Netzmaske 255.255.0.0) dürfen nur untereinander kommunizieren (VLAN20) auf den HP-Switches. D.h. die einzelnen Ports (an denen ein PC hängt) kommen bloß ins VLAN20. Das restliche Netz kommt auch nicht per Ping oder ähnliches auf IP’s von 172.16.21.1 – 172.16.21.255.

Nun haben wir den Fall, dass die IP’s aus VLAN20 plötzlich unser Gateway(Firewall 172.16.1.250) benötigen (Zugriff aufs Internet).
Was muss ich wo konfigurieren, damit IP’s aus VLAN20 zur Firewall kommen, aber nicht in den restlichen Netzwerkbereich/VLAN1(Standard) 172.16.0.x – 172.16.100.x ?

Muss man hier was an der Firewall einstellen (hier sind keine VLANs definiert)?
Muss ich am Switch-Port (HP-2910) wo die Firewall drauf hängt was machen? Hängt nämlich nur in VLAN1(Standard).
Ist es überhaupt möglich diese Einschränkungen zu machen bei einem B-Class-Netz?

Viele Grüße

olly

Im Prinzip: Wie mache das Gateway / die Firewall in VLAN20 verfügbar ? Außerdem muss gewährleistet sein, dass kein Traffic von VLAN1 ins VLAN20 kommt über das Gateway sprich über die Firewall, die keine VLAN's kennt und auf dem Switch in VLAN1(Standard) hängt ?

Content-ID: 208959

Url: https://administrator.de/contentid/208959

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

aqui
aqui 02.07.2013 aktualisiert um 11:06:28 Uhr
Goto Top
Dieses Tutorial sollte alle deine Fragen beantworten:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
denn es behandelt exakt genau deine Anforderung !

Eine gute, praxisorientierte Einführung in VLANs findest du hier:
http://www.schulnetz.info/vlan-teil2-woher-weiss-mein-netzwerk-aus-welc ...

Mit dem Rüstzeug solltest du dann den Durchblick behalten bei VLANs....
sk
sk 02.07.2013 um 12:36:48 Uhr
Goto Top
Der erste Schritt wäre, sich ein sinnvolles Adressierungskonzept auf Layer 3 zu überlegen. Momentan wird in beiden VLANs das Netz 172.16.0.0/16 verwendet. Da Du offenkundig bereits im 3. Oktett die Netze unterscheidest, wäre es das einfachste, auf eine längere Subnetzmaske zu wechseln. Ob das aber in Deiner Umgebung möglich ist (Anzahl der Hosts je Subnetz), weisst nur Du allein...

Gruß
sk
SlainteMhath
SlainteMhath 02.07.2013 um 12:40:37 Uhr
Goto Top
Moin,

zusätzlich zu den links von Aqui kann ich dir schonmal vorab sagen, das du einen Denk/Designfehler in deinem VLANs hast.

VLAN 1 = : 172.16.0.0 / 255.255.0.0
VLAN 20 = 172.16.21.1 – 172.16.21.255 / 255.255.0.0

Das ist das gleich Subnetz - 172.16.0.0 / 255.255.0.0 geht von 172.16.0.1 bis 172.16.254.254 - VLANs braucht aber, sofern du zwischen ihnen routen möchtest separate Subnetze.

lg,
Slainte
olly
olly 02.07.2013 um 13:46:20 Uhr
Goto Top
OK,
soweit war ich auch schon. Wir haben ein B-Class-Netz, das mittels VLAN's in kleinere Netze geteilt werden soll. Genau deswegen habe ich das Problem die Firewall / das Gateway mit IP 172.16.1.250 im VLAN20 verfügbar zu machen, damit auch alles soweit passt.

Meine Überlegung (wenn möglich): Auf der Firewall das VLAN20 anzulegen und beim Switch-Port der Firewall das VLAN20 mit dazu zunehmen. Irgendwie muss ich dann halt noch der Firewall sagen, dass niemand auf IP-Adressen 172.16.21.x zugreifen darf außer eine andere IP-Adresse 172.16.21.x.

Wäre dies möglich?
SlainteMhath
SlainteMhath 02.07.2013 um 14:06:39 Uhr
Goto Top
Alle VLANs als Trunk an die Firewall ist schonmal der richtige Ansatz.Oder eben ein phys. Interface der Firewall pro VLAN.

Aber: Du musst Deine Netzmaske anpassen! Eine /16er Maske nützt dir nichts.
Entweder du nimmst eine /24er Maske, dann sind die ist jede Zahl im 3ten Oktet ein separates Netz, oder du nimmst z.b. eine /20er Maske, dann gehen die Netze z.b. von 172.16.0.0-172.16.15.255 / 172.16.16.0-172.16.31.255 usw.

Die FW brauchst aber in jedem Fall in jedem Netz eine IP Adresse die jeweils als Gateway fungiert.

Ob und Wie das mit Deiner FW geht kannst du sicher dem Handbuch entnehmen.
MrNetman
MrNetman 02.07.2013 um 14:17:45 Uhr
Goto Top
Wie @SlainteMhath schon sagte:

Erst die Adressierung bereinigen.
Dann die beiden VLANs getrennt zur Firewall bringen.
Ein Routing auf der Firewall einrichten.
Zugriffsregeln (ACL) benutzen umd die Nutzer von VLAN1 zu hindern ins VLAN20 zu kommen und umgekehrt.

Gruß
Netman