maik20
Goto Top

Grundkonfiguration Firewall und L3 Switch?

Hallo Admins,

ich bastel gerade etwas an meinem Heimnetz. Dazu habe ich hier einen SG300 von Cisco im L3 und eine Firewall von Palo.

Auf dem Switch sind diverse VLANs (10, 20, 30) konfiguriert. Auf dem Switch regeln ACLs den Zugriff zwischen den VLANs.

Jetzt kommt die Firewall ins Spiel und hier stolper ich in meiner Gedankenwelt etwas. Den Internetzugang möchte ich in das VLAN2 packen. Was ist zu tun?

Definiere ich auf dem Switch einen Trunk-Port mit allen VLANs und dann alle VLANs auf der Firewall? Oder geb ich der Firewall nur eine IP im 2er VLAN und definiere den Port dann als ACCESS Port auf dem Switch?

Vielleicht kann mir jemand den richtigen Weg zeigen oder kurz Vor/Nachteile skizzieren.

Danke

Content-ID: 347103

Url: https://administrator.de/forum/grundkonfiguration-firewall-und-l3-switch-347103.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

maretz
maretz 23.08.2017 um 16:48:12 Uhr
Goto Top
Moin,

du kannst entweder deinen Switch routen lassen oder deinen Router das machen lassen, bei deinem kleinen Netz macht das keinen Unterschied.... Ich würde es vermutlich dann an den router hängen - weil der ja router heisst ;).

Bei grossen Netzen möchtest du das ggf. nicht da der Router z.B. anders angebunden sein kann (sagen wir mal mit 1 GBit weil du eh nur 50M nach aussen hast). Dann müssten sich diese 1x1 GBit-Leitung alle Netze teilen - wenn du von Vlan 10 in 20 willst würde es ja auch da durchgehen... da legt man das dann gerne auf den Switch um den Engpass zu vermeiden. Das hat den nachteil das die Routing-Regeln bei Switches allgemein nicht allzu viele Optionen lassen - und auch Firewallmässig ist da oft nix oder nur grundlegend. Da es sich aber um interne Netze handelt kann man das verschmerzen. Hat man dann doch ein Netz mit komplexeren Anforderungen kann man das ja immer noch durch den Router und/oder die Firewall jagen.
Maik20
Maik20 23.08.2017 aktualisiert um 18:16:12 Uhr
Goto Top
Also ursprünglich wollte ich zwischen den Netzen suf dem Switch routen. Wenn mehrere Filme von der NAS ziehen sollte das nicht alles über die Firewall gehen. Diese kann kein LAG. Daher ist die Anbindung nur über 1Gbit Link. Die NAS hat z.B. 2x 1Gbit.

Wie würde ich dann die Firewall anbinden? Als Trunk mit allen VLANs?

Edit: Auf der anderen Seite würde ich gerne für das VLAN10 Eltern und das VLAN20 Kind zumindest das Routing zum Internet über die Firewall laufen lassen mit unterschiedlichem Regelwerk. Geht also ein Mischbetrieb?
chiefteddy
chiefteddy 23.08.2017 um 18:44:09 Uhr
Goto Top
Hallo,

du definierst ein weiteres VLAN (zB FIREWALL) mit eigenem Subnetz; dann legst du einen Port des L3-Switches in dieses VLAN (untagged). An diesen Port schließt du die Firewall an. Switch-Port und Firewall~ haben jeweils eine IP aus diesem VLAN. Für den Switch-Port ist die Firewall-IP das Standard-GW und umgekehrt die Switch-Port-IP für die Firewall. Nun mußt du auf dem L3-Switch nur noch das Routing in das neue VLAN einrichten. Mit aktivem RIP oder OSPF geht das auch alleine.

Jürgen
134058
134058 23.08.2017 aktualisiert um 19:18:38 Uhr
Goto Top
Der L3-Switch sollte schon Inter-VLAN-Routing tun. Deshalb hat man ihn ja wohl. Für die normalen VLANs (Sicherheitszone LAN) des L3-Switches konfigurierst du ein extra Uplink-VLAN und routest zwischen allen VLANs auf L3-Switch.

Ein WLAN-Gastnetz ist separat, nur Internetzugang. Eine DMZ ist zu separieren. Die entsprechenden VLANs sind direkt an die FW durchreichen, ein Inter-VLAN-Routing auf dem L3-Switch wäre völlig falsch.

Somit entstehen an der FW die üblichen Sicherheitszonen durch 3 entsprechende VLANs (Trunk 802.1q zum L3-Switch): WAN/Internet als physischer Port, DMZ, Gast, LAN (3 VLANs, 1 Trunk). 2 physische Ports für FW genügen bereits: Internet und Switch-Trunk.

Eventuell erstellt man auf dem L3-Switch neben LAN noch ein Serversegment sowie ein WLAN-Segment für Accesspoints (Gast-WLAN hatten wir schon separat behandelt). Läuft dann ebenfalls per gemeinsam gerouteten Uplink-VLAN zur FW.

Eventuell LAN aufteilen in weitere Sicherheitszonen: privat, Firma ... Da kann man Inter-VLAN-Routing eingeschränkt per Paketfilter nutzen oder Sicherheitszonen der Firewall. Letzteres wäre sicherheitstechnisch besser aber belastet Firewall mehr. Irgendwann ist auch die Kapazität/Datenrate des bisher einzigen Ports zum Switch zu Ende und man muss weitere Ports/Trunks zur FW schalten, muss Sicherheitszonen neu aufteilen, festlegen.

Weglassen darfst du, das Konzept bleibt. face-wink
Maik20
Maik20 23.08.2017 um 19:24:17 Uhr
Goto Top
Zitat von @134058:

Der L3-Switch sollte schon Inter-VLAN-Routing tun. Deshalb hat man ihn ja wohl. Für die normalen VLANs (Sicherheitszone LAN) des L3-Switches konfigurierst du ein extra Uplink-VLAN und routest zwischen allen VLANs auf L3-Switch.

Ok. Also vom Aufbau:
VLAN2 = Internet
VLAN10 = Eltern
VLAN20 = Kind
VLAN30 = Server
VLAN35 = WLAN
VLAN40 = WLAN Gast
VLAN50 = DMZ

Der Switch läuft als L3 und die ACLs sind auf dem Switch erstellt. 10, 20 und 35 dürfen auf 30 und auf 2, 30 darf nur auf 2 sonst nix. Die Default Route geht auf 10.2.5.1

Die Firewall hat 4 Ports. Port 1 geht auf die SG300 ebenso an Port 1. Der Port ist als Trunk für alle VLANs konfiguriert? Richtig? Oder nur für 10, 20, 30?


Ein WLAN-Gastnetz ist separat, nur Internetzugang. Eine DMZ ist zu separieren. Die entsprechenden VLANs sind direkt an die FW durchreichen, ein Inter-VLAN-Routing auf dem L3-Switch wäre völlig falsch.

Hier steige ich aus. Verbinde ich die Firewall erneut mit dem Switch über einen anderen Port? Wird das dann auch ein Trunk? Die Defaultroute gibt es dich nur einmal.

Oben sprichst du doch von einem inter-vlan-routing??


Somit entstehen an der FW die üblichen Sicherheitszonen durch 3 entsprechende VLANs (Trunk 802.1q zum L3-Switch): WAN/Internet als physischer Port, DMZ, Gast, LAN (per Uplink-VLAN). 2 physische Ports für FW genügen bereits: Internet und Switch-Trunk.

Wieso 2 physische Ports an der Firewall?

Ein LAG unterstützt die FW leider nicht.
134058
134058 23.08.2017 aktualisiert um 20:15:00 Uhr
Goto Top
Zitat von @Maik20:

Zitat von @134058:

Der L3-Switch sollte schon Inter-VLAN-Routing tun. Deshalb hat man ihn ja wohl. Für die normalen VLANs (Sicherheitszone LAN) des L3-Switches konfigurierst du ein extra Uplink-VLAN und routest zwischen allen VLANs auf L3-Switch.

Ok. Also vom Aufbau:
VLAN2 = Internet
VLAN10 = Eltern
VLAN20 = Kind
VLAN30 = Server
VLAN35 = WLAN
VLAN40 = WLAN Gast
VLAN50 = DMZ
Wäre mir persönlich für ein Heimnetz zu viel.
Jedenfalls ist wohl VLAN2 das Uplink-VLAN ohne eigene Access-Ports. Sollte zumindest so sein. face-wink
10, 20 und 35 dürfen auf 30 und auf 2, 30 darf nur auf 2 sonst nix.
Inter-VLAN-Routing eingeschränkt per Paketfilter/ACL gemeinsam mit VLAN2 = gerouteter Uplink für 10, 20, 30, 35.

Die Firewall hat 4 Ports. Port 1 geht auf die SG300 ebenso an Port 1. Der Port ist als Trunk für alle VLANs konfiguriert? Richtig? Oder nur für 10, 20, 30?
Trunk nur für VLAN2 (= gerouteter Uplink für 10, 20, 30, 35) sowie 40 und 50. Somit sind "LAN-VLANs" (gleiche Sicherheitszone bezüglich FW) zusammengefasst - aber von DMZ und Gast hübsch getrennt.

Ein WLAN-Gastnetz ist separat, nur Internetzugang. Eine DMZ ist zu separieren. Die entsprechenden VLANs sind direkt an die FW durchreichen, ein Inter-VLAN-Routing auf dem L3-Switch wäre völlig falsch.

Hier steige ich aus.
Nein, wir sind mit dem Switch, zumindest mit den VLANs fertig und haben genau das:
Somit entstehen an der FW die üblichen Sicherheitszonen durch 3 entsprechende VLANs (Trunk 802.1q zum L3-Switch): WAN/Internet als physischer Port, DMZ, Gast, LAN (per Uplink-VLAN). 2 physische Ports für FW genügen bereits: Internet und Switch-Trunk.

Wieso 2 physische Ports an der Firewall?
Na, Port zum Modem (Internet) und Trunk-Port zum Switch werden doch verwendet. Du hast 4 Ports, einen DMZ-Server könntest du auch dediziert an die FW direkt anschließen. Hast dann noch einen Port zum Testen/Spielen frei.
Maik20
Maik20 23.08.2017 um 20:25:20 Uhr
Goto Top
Trunk nur für VLAN2 (= gerouteter Uplink für 10, 20, 30, 35) sowie 40 und 50. Somit sind "LAN-VLANs" (gleiche Sicherheitszone bezüglich FW) zusammengefasst - aber von DMZ und ...

Ich verstehe gerade den Unterschied nicht zwischen der bezeichnung (= gerouteter Uplink ...) und 40, 50?

Verkabeln tue ich alles nur über einen Port von der SG300 auf die Firewall. Den Port konfiguriere ich als Trunk für die VLANs 10, 20, 30, 35, 40 und 50. Wo ist jetzt der Unterschied? Bzw. wie konfiguriere ich auf der SG300 einen "gerouteten Uplink". Vielleicht verstehe ich es dann.
134058
134058 23.08.2017 aktualisiert um 21:56:42 Uhr
Goto Top
Zitat von @Maik20:

Trunk nur für VLAN2 (= gerouteter Uplink für 10, 20, 30, 35) sowie 40 und 50. Somit sind "LAN-VLANs" (gleiche Sicherheitszone bezüglich FW) zusammengefasst - aber von DMZ und ...

Ich verstehe gerade den Unterschied nicht zwischen der bezeichnung (= gerouteter Uplink ...) und 40, 50?
Die Frage verstehe ich jetzt nicht. Egal, stelle dir einfach vor, du hast einen normalen Router mit mehreren LAN-Ports, den du an die FW anschließt. Der WAN-Port des Routers wäre der Uplink für alle "harmlosen" LAN-IP-Netzwerke. Die eigentlichen LAN-IP-Netzwerke bleiben lokal, der Router (in deinem Fall der L3-Switch) verbindet alles miteinander, was zum Internet muss, schickt er zum Uplink.

Verkabeln tue ich alles nur über einen Port von der SG300 auf die Firewall. Den Port konfiguriere ich als Trunk für die VLANs 10, 20, 30, 35, 40 und 50. Wo ist jetzt der Unterschied? Bzw. wie konfiguriere ich auf der SG300 einen "gerouteten Uplink". Vielleicht verstehe ich es dann.
Wenn du so die VLANs Eltern, Kind, Server direkt/ungeroutet zur Firewall führst, routet die FW anstelle des L3-Switches dazwischen. Wozu dann ein Layer3-Switch? Und Nachteile: Jeder Traffic, auch der nicht über die FW müsste, lokal vom Switch geroutet werden könnte, läuft über einen 1-GBit-Port und belastet sinnlos die FW.

DMZ und Gast muss die FW behandeln, dazu ist sie da. Also beide VLANs direkt (ungeroutet) auf Trunk. Ist reines Layer2-Switching.

Was du vorhast, müsste man mit L2-Switch tun, mit L3-Switch kann man es tun, L3 so jedoch witzlos, jeder Traffic muss von FW behandelt werden. Selbst Traffic zwischen den "harmlosen" VLANs (Eltern, Kind, Server).

Wie du den SG300 speziell für L3/Routing konfigurieren musst, kann ich leider nicht sagen, habe keinen L3-Switch.
Maik20
Maik20 23.08.2017 um 22:21:22 Uhr
Goto Top
Ich glaub ich hab es verstanden es harkt jedoch an der Umsetzung.

Den SG300 hab ich im L3 Modus laufen. Die VLANs sind eingestellt. Der Switch nzw nun Router routed zwischen allen VLANs, es sei denn die ACL verbietet dieses. Soweit Ok.

Für alle dem Router unbekannten IPs routet er den Traffic mittels default route zur Firewall.

Soweit mein Verständnis.

Hier eben die erste Frage nach der Konfiguration des Routers und der Firewall? Als TRUNK oder ACCESS? Das würde ja gelten für alle internen VLANs (Eltern, Kind, ...)

Und für DMZ und Gast sie Frage
Wie bekomme ich ... das auf der SG300

DMZ und Gast muss die FW behandeln, dazu ist sie da. Also beide VLANs direkt (ungeroutet) auf Trunk. Ist reines Layer2-Switching.
108012
108012 24.08.2017 um 03:10:08 Uhr
Goto Top
Hallo zusammen,

ich bastel gerade etwas an meinem Heimnetz.
Du siehst walles was Du dort stehen hast und wir müssen uns das denken und/oder raten!
Es waäre daher immer besser uns alle Sachen im Detail mitzuteilen denn dann geht das alles auch schneller von statten.
- Welche Palo Alto Firewall ist das denn?
- Welches PANOS (Version) ist denn darauf installiert?

Dazu habe ich hier einen SG300 von Cisco im L3 und eine Firewall von Palo.
Also ich kenne die Palo Alto Firewalls nur als NG-Firewall und das schließt eigentlich alle UTM Funktionen mit ein.
Da Du schreibst dass Deine PAN-PA keine LAGs unterstützt sind hier eigentlich nur zwei mögliche Treffer zu landen;
- Du hast eine PAN-PA-200 oder aber Dein PANOS ist älter als Version die 7.1

Es wäre halt immer nett wenn man so etwas nicht erraten müsste, dann kann man auch schneller helfen!
Also ab PANOS Version 7.1 ist auch die PA-200 in der Lage mit LAGs (LACP) umzugehen!
PANOS 6.1
PANOS 7.1

Die aktuelle Version von PANOS ist Version 8.0 und darauf sollte man auch updaten wenn man denn Risiken meiden
möchte. Aber dazu gilt;
- Ist man unter Version 7.1 muss/sollte man zuerst auf Version 7.1 updaten und dann erst auf Version 8.0
- Ist man schon auf Version 7.1 kann man gleich auf die Version 8.0 updaten.

Auf dem Switch sind diverse VLANs (10, 20, 30) konfiguriert. Auf dem Switch regeln ACLs den Zugriff zwischen den VLANs.
Ok Du hast hier zwei Möglichkeiten, die PA-200 routet alle VLANs für Dich oder aber der Cisco SG300 Switch macht das und
die PA-200 ist "nur" für das WAN und DMZ Routing zuständig. Auch die PA-200 kann eine DMZ Zone oder einen DMZ Port
konfigurieren und von daher würde ich glatt dazu raten dass man das eine VLAN einfach weglässt in dem man dort einen
kleinen 5 oder 8 Port Switch dran anschließt und dann dort eine richtige DMZ einrichtet anstatt des VLANs, das ist sicherer
und mit 25 Euro bis 35 Euro auch noch leicht zu stemmen.

Jetzt kommt die Firewall ins Spiel und hier stolper ich in meiner Gedankenwelt etwas. Den Internetzugang möchte ich
in das VLAN2 packen. Was ist zu tun?
Der Internetzugang bleibt einfach wie er ist an der PA-200 und man setzt einfach ein neues VLAN auf in dem die IP Adresse
der PA-200 dann das gateway ist, fertig.

Definiere ich auf dem Switch einen Trunk-Port mit allen VLANs und dann alle VLANs auf der Firewall?
Dann würde die Firewall die VLAN routen! Aber das möchtest Du ja so gar nicht zumindest wie ich das hier verstanden habe!
In dem VLAN ist dann nur die PA-200 und die IP Netze seollten natürlich dazu passen.

Oder geb ich der Firewall nur eine IP im 2er VLAN und definiere den Port dann als ACCESS Port auf dem Switch?
VLAN anlegen, PA-200 rein packen und dann ist doch eigentlich alles in Ordnung.

Vielleicht kann mir jemand den richtigen Weg zeigen oder kurz Vor/Nachteile skizzieren.
- PA-200 updaten
- VLANs auf dem SG300 anlegen
- Einen Port zum DMZ Port machen
- Die Firewall in ein extra oder eigenes VLAN rein packen

Gruß
Dobby
108012
108012 24.08.2017 um 03:40:37 Uhr
Goto Top
P.S.

Ok. Also vom Aufbau:
VLAN2 = Internet
Ein VLAN in das die PA-200 kommt und die IP adresse der PA-200 ist dann auch gleich die gateway Adresse des VLANs.
DHCP aus.

VLAN10 = Eltern
VLAN20 = Kind
VLAN30 = Server
Ok

VLAN35 = WLAN
VLAN40 = WLAN Gast
WLAN Gast nur Internet und WLAN privat für alle dorthin wo si cran sollen bzw. dürfen

VLAN50 = DMZ
Lieber einen richtigen Port der PA-200 benutzen und dann dort eine DMZ draus machen! Dann muss man keine
Ports und Weiterleitungen ins LAN aufmachen.

Der Switch läuft als L3 und die ACLs sind auf dem Switch erstellt.
Gut also soll der dann auch die VLANs routen, denn so ist er jetzt zur zeit konfiguriert!?

10, 20 und 35 dürfen auf 30 und auf 2, 30 darf nur auf 2 sonst nix. Die Default Route geht auf 10.2.5.1
Und 10.2.5.1/24 sollte die IP Adresse der PA-200 sein und in VLAN2

Die Firewall hat 4 Ports. Port 1 geht auf die SG300 ebenso an Port 1.


Der Port ist als Trunk für alle VLANs konfiguriert? Richtig? Oder nur für 10, 20, 30?
Nein denn TRUNK befödert ja die VLANs zur PA-200 direkt hin! Das wäre ja nur der Fall wenn man auf dem Switch alle VLANs
anleget und dann hin zur Palo Alto Firewall leitet damit diese die VLANs dann routet, aber das möchtest Du ja nicht da der
Switch im Layer3 Modus und die VLANs alle selber routet.

Hier steige ich aus. Verbinde ich die Firewall erneut mit dem Switch über einen anderen Port? Wird das dann auch ein Trunk?
Die Defaultroute gibt es dich nur einmal.
- Die DMZ wird auf einem LAN Port der PA-200 konfiguriert
- Der Switch kann auf jeden Fall die VLANs routen, warum auch nicht? Denn dann ist auf jeden fall mehr Luft für die Firewall
und der Cisco SG300 macht das auch mit nahe zu wire speed! Dazu ist der genau richtig.

Oben sprichst du doch von einem inter-vlan-routing??
Das VLAN Routing oder Routing zwischen den VLANs macht der Switch wenn er im Layer3 Modus betrieben wird und die
Firewall macht dann das WAN und DMZ Routing, fertig.

Gruß
Dobby
Maik20
Maik20 24.08.2017 um 06:56:19 Uhr
Goto Top
Sorry wegen der fehlenden Angaben. Ich sehe erst jetzt das ich es nicht erwähnt habe. Ich habe die 220er mit PAN OS 8.0

Das diese nicht in der Lage ist mit LAGs umzugehen habe ich aus der Knowledgebase von PA. Da steht, dass die LAGs/LACPs erst ab der PA500 unterstützt werden.

Zitat von @108012:

P.S.

Ok. Also vom Aufbau:
VLAN2 = Internet
Ein VLAN in das die PA-200 kommt und die IP adresse der PA-200 ist dann auch gleich die gateway Adresse des VLANs.
DHCP aus.

VLAN10 = Eltern
VLAN20 = Kind
VLAN30 = Server
Ok

VLAN35 = WLAN
VLAN40 = WLAN Gast
WLAN Gast nur Internet und WLAN privat für alle dorthin wo si cran sollen bzw. dürfen

Ja.

VLAN50 = DMZ
Lieber einen richtigen Port der PA-200 benutzen und dann dort eine DMZ draus machen! Dann muss man keine
Ports und Weiterleitungen ins LAN aufmachen.

Die DMZ ist eher spielerei. Ich habe hier einen virtuellen Server. Der läuft auf einem VMWare Host. Da ich die Ports des Servers lieber als LAG auf die SG300 lege hätte ich keinen Port frei. Daher das VLAN.

Der Switch läuft als L3 und die ACLs sind auf dem Switch erstellt.
Gut also soll der dann auch die VLANs routen, denn so ist er jetzt zur zeit konfiguriert!?

Geplant war ursprünglich das primär der Switch routed um den Engpass in der Verbindung Switch/Firewall zu vermeiden. Ich jedoch bzgl. Internet für jedes VLAN auf der PA eigene Zonen und ich damit ein eigenes Regelwerk hinterlegen kann. Oder zumindest für VLAN Kind eine eigene Zone. Ich glaube verstanden zu haben das beides nicht geht. Oder?

10, 20 und 35 dürfen auf 30 und auf 2, 30 darf nur auf 2 sonst nix. Die Default Route geht auf 10.2.5.1
Und 10.2.5.1/24 sollte die IP Adresse der PA-200 sein und in VLAN2

Richtig so ist es jetzt.

Der Port ist als Trunk für alle VLANs konfiguriert? Richtig? Oder nur für 10, 20, 30?
Nein denn TRUNK befödert ja die VLANs zur PA-200 direkt hin! Das wäre ja nur der Fall wenn man auf dem Switch alle VLANs
anleget und dann hin zur Palo Alto Firewall leitet damit diese die VLANs dann routet, aber das möchtest Du ja nicht da der
Switch im Layer3 Modus und die VLANs alle selber routet.

Gedacht war: Routing zwischen den VLANs per Switch und routing VLAN zum Internet die PA. Aber eben mit eigenen Zonen.

Wie Ihr seht muss ich noch einiges lernen. Hoffe die Fragen sind nicht allzu blöd.

Danke für die Hilfe.
134058
134058 24.08.2017 aktualisiert um 08:10:31 Uhr
Goto Top
"Geplant war ursprünglich das primär der Switch routed um den Engpass in der Verbindung Switch/Firewall zu vermeiden. Ich jedoch bzgl. Internet für jedes VLAN auf der PA eigene Zonen und ich damit ein eigenes Regelwerk hinterlegen kann. Oder zumindest für VLAN Kind eine eigene Zone. Ich glaube verstanden zu haben das beides nicht geht. Oder?""

Wenn du wirklich für jedes VLAN (auch für die "harmlosen") eigene Zonen auf der FW willst, musst du jedes VLAN zur FW trunken. Nachteile siehe oben.

Vorgeschlagen wurde, dass der SG300 zwischen den "harmlosen" VLANs und dessen Uplink-VLAN routet. Damit ist erst mal jeder Inter-VLAN-Traffic zwischen den "harmlosen" VLANs möglich. Verkehrseinschränkungen machst du per Paketfilter/ACLs auf dem SG300.

https://documentation.meraki.com/MS/Layer_3_Switching/Layer_3_Switch_Exa ...
Schaue mal das Bild an: Dein SG300 ist der Distribution-Switch einschließlich Router und Access-Switch. Male dir gedanlich ein Gehäuse um die 3 Geräte. Betrachte das Bild nur als gültig für deine "hamlosen", vom L3-Switch gerouteten VLANs. Zur FW wird ein Uplink-VLAN getrunkt, es entsteht so die Sicherheitszone LAN/Trusted für die "harmlosen" VLANs (Eltern, Kind, Server).

DMZ und Gast-VLAN nicht routen aber trunken, so entstehen die Sicherheitszonen DMZ und GAST. Also weitere 2 VLANs auf Trunk. Nicht im Bild dargestellt.

So, besser kann ich es nicht erklären.
Maik20
Maik20 24.08.2017 aktualisiert um 08:13:56 Uhr
Goto Top
Ich habe glaub ich habe verstanden was du meinst. Einzig an der Umsetzung hapert es. Wie kann ich der SG300 z.B. sagen das dieser das Gast VLAN nicht routen sondern nur switchen soll. Bislang ging ich davon aus, das wenn im L3 immer ein Routing erfolgt und bei unbekannten Adressen die default-Route greift.

Mal eine weitere Frage. Was würdest du mit einem Voice-VLAN machen? Ähnlich wie ein Gast auf den Trunk oder in den inter-vlan-bereich der "harmlosen" vlans?
134058
134058 24.08.2017 aktualisiert um 08:23:26 Uhr
Goto Top
Zitat von @Maik20:

Ich habe glaub ich habe verstanden was du meinst. Einzig an der Umsetzung hapert es. Wie kann ich der SG300 z.B. sagen das dieser das Gast VLAN nicht routen sondern nur switchen soll. Bislang ging ich davon aus, das wenn im L3 immer ein Routing erfolgt und bei unbekannten Adressen die default-Route greift.
Na sicher greift die Default-Route. Eischränkungen per Paketfilter/ACLs auf SG300.

Mal eine weitere Frage. Was würdest du mit einem Voice-VLAN machen? Ähnlich wie ein Gast auf den Trunk oder in den inter-vlan-bereich der "harmlosen" vlans?
Kommt drauf an, wo/wie die TK-Anlage angeschlossen ist. Eine Fritzbox vor Firewall - dann VLAN direkt zur FW und ohne Routing im SG300 dort hin! TK-Anlage am Switch - kürzester Weg ohne Routing! face-wink
Maik20
Maik20 24.08.2017 um 08:25:56 Uhr
Goto Top
Zitat von @134058:

Zitat von @Maik20:

Ich habe glaub ich habe verstanden was du meinst. Einzig an der Umsetzung hapert es. Wie kann ich der SG300 z.B. sagen das dieser das Gast VLAN nicht routen sondern nur switchen soll. Bislang ging ich davon aus, das wenn im L3 immer ein Routing erfolgt und bei unbekannten Adressen die default-Route greift.
Na sicher greift die Default-Route. Eischränkungen per Paketfilter/ACLs auf SG300.

Also einfach für das Gast-VLAN ein DENY ALL und dann das VLAN auf den Trunk? Dann entspräche dies dem von dir genannten Switching? Ist dann die Default Route auch ausgeschlossen?
aqui
aqui 24.08.2017 aktualisiert um 09:33:28 Uhr
Goto Top
Den Internetzugang möchte ich in das VLAN2 packen. Was ist zu tun?
Oben ist ja schon alles gesagt worden aer die ToDos sind immer die gleichen.
Das VLAN 2 sollke KEIN Produktiv VLAN sein, sondenr für den Internet Zugang via L3 Switch sollte immer ein separates VLAN genutzt werden um den Traffic aus dem Produktiv VLANs fernzuhalten.
Dann sind die Schritte ganz einfach:
  • Default Route im Switch auf die IP der Firewall im VLAN 2 setzen ( ip route 0.0.0.0 0.0.0.0 <ip_adr_firewall> )
  • In der Firewall statische Routen auf die VLANs 10, 20 und 30 etc. setzen mit next Hop IP der Switch IP in VLAN 2.
Wenn alle deine VLAN IP Netze in einem kontinuierlichen Bereich sind also z.B.
2 = 172.16.2.0 /24
10 = 172.16.10.0 /24
20 = 172.16.20.0 /24
30 = 172.16.30.0 /24
Kannst du all diese Netze mit einer einzigen Summary Route zusammenfassen wie z.B. mit einem 18er oder 17er Prefix:
ip route 172.16.0.0 255.255.192.0 <ip_adr_switch-vlan2>
bzw.
ip route 172.16.0.0 255.255.128.0 <ip_adr_switch-vlan2>
Das routet dann alle IP Netze von .0.0 bis .63.0 oder bis .128.0 auf dem L3 Switch mit einer einzigen route statt umständlich alle Netze einzeln einzutragen.

Willst du einzelne Netze wie Eltern und Kind nicht über den Switch routen sondern nur direkt über die Firewall, dann nimmst du einen tagged Uplink vom Switch auf den Firewall Port mit VLAN 2 als Native VLAN und taggst dieses oder diese separate VLANs auf die FW.
Diese VLANs haben dann natürlich keine IP Adressen auf dem Switch um sie völlig vom Switch Routing zu isolieren und das Routing ausschliesslich über die Firewall laufen zu lassen.
So ist ein "Mischbetrieb" wie du es nennst natürlich problemlos möglich.
Eigentlich alles ganz einfach wenn man etwas nachdenkt face-wink ....!
Maik20
Maik20 24.08.2017 um 09:36:55 Uhr
Goto Top
Danke aqui. Nur eine Frage bleibt. Wenn ich einzelne Netze nicht über den Switch route wie z.b. das Gast-Netz. Wie setze ich das im Switch um? Einfach eine ACL mit DENY ALL? Und das VLAN auf den Trunk zur Firewall? Oder muss ich au dem SG300 noch andere Einstellungen vornehmen?
134058
134058 24.08.2017 aktualisiert um 09:59:41 Uhr
Goto Top
Zitat von @Maik20:
Also einfach für das Gast-VLAN ein DENY ALL und dann das VLAN auf den Trunk? Dann entspräche dies dem von dir genannten Switching? Ist dann die Default Route auch ausgeschlossen?
Nein, die VLANs sind doch ohne Routing getrennt, also GAST-VLAN sowie DMZ werden vom L3-Switch NICHT geroutet sondern direkt zur FW getrunkt, damit diese die Sicherheitszonen bilden, Traffic entsprechend behandeln, routen bzw. isolieren kann.

Nochmals: Für DMZ und GAST ist auf dem SG300 KEINE IP-Konfiguration (Adressen, Routen, ACLs ...) erforderlich. Das machst du AUSSCHLIESSLICH auf der Firewall, auf den entsprechenden virtuellen Interfaces dafür.

Der SG300 hat für diese Netze nur die VLAN-Konfiguration wie ein stinknormaler L2-Switch. Also hübsch voneinander und von (nur untereinander - per ACLs eingeschränkt - gerouteten) Produktivnetzen getrennt.

NOCHMALS wiederhole ich mich nicht, du hast teure Profi-Technik, beschäftige dich nun mit den BASICS!!!

Zu den "harmlosen" VLANs hat Aqui alles ausführlich gesagt - und er hat NICHT von DMZ/Gast gesprochen!
aqui
Lösung aqui 24.08.2017 aktualisiert um 10:00:29 Uhr
Goto Top
Nein, die VLANs sind doch ohne Routing getrennt,
Der TO sagt aber was ganz anderes....
"Auf dem Switch regeln ACLs den Zugriff zwischen den VLANs...."
Sagt ja erstmal das er alle VLANs auf dem L3 Switch routet, oder ?

Richtig ist das man diese VLANs auf dem Switch von der IP Adressierung ausnehmen muss und direkt per tagged Uplink auf die FW übertragen muss um sie dort zu routen.
134058
134058 24.08.2017 aktualisiert um 10:08:24 Uhr
Goto Top
" Richtig ist das man diese VLANs auf dem Switch von der IP Adressierung ausnehmen muss und direkt per tagged Uplink auf die FW übertragen muss um sie dort zu routen. "

Genau. Und das gelingt mir offensichtlich und leider nicht, dem TO beizubringen.
Maik20
Maik20 24.08.2017 um 10:27:47 Uhr
Goto Top
Jetzt hab ich es. Wenn jemand gesagt hätte richte das VLAN ohne IP-Adressierung ein, dann switcht er wie L2 hätte ich es glaub ich auch eher gerafft. Der Link fehlte nir im Kopf.

Danke nochmal an alle!
aqui
aqui 25.08.2017 um 10:15:16 Uhr
Goto Top
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
108012
108012 25.08.2017 um 17:23:18 Uhr
Goto Top
Jetzt hab ich es. Wenn jemand gesagt hätte richte das VLAN ohne IP-Adressierung ein,
Das muss dann aber kein Layer3 sein, und zum Anderen routet dann die Firewall wieder alles alleine.

dann switcht er wie L2 hätte ich es glaub ich auch eher gerafft. Der Link fehlte nir im Kopf.
Dazu muss man in der Regel das Layer3 Menü nur ausschalten, fertig.

Gruß
Dobby