Grundkonfiguration Firewall und L3 Switch?
Hallo Admins,
ich bastel gerade etwas an meinem Heimnetz. Dazu habe ich hier einen SG300 von Cisco im L3 und eine Firewall von Palo.
Auf dem Switch sind diverse VLANs (10, 20, 30) konfiguriert. Auf dem Switch regeln ACLs den Zugriff zwischen den VLANs.
Jetzt kommt die Firewall ins Spiel und hier stolper ich in meiner Gedankenwelt etwas. Den Internetzugang möchte ich in das VLAN2 packen. Was ist zu tun?
Definiere ich auf dem Switch einen Trunk-Port mit allen VLANs und dann alle VLANs auf der Firewall? Oder geb ich der Firewall nur eine IP im 2er VLAN und definiere den Port dann als ACCESS Port auf dem Switch?
Vielleicht kann mir jemand den richtigen Weg zeigen oder kurz Vor/Nachteile skizzieren.
Danke
ich bastel gerade etwas an meinem Heimnetz. Dazu habe ich hier einen SG300 von Cisco im L3 und eine Firewall von Palo.
Auf dem Switch sind diverse VLANs (10, 20, 30) konfiguriert. Auf dem Switch regeln ACLs den Zugriff zwischen den VLANs.
Jetzt kommt die Firewall ins Spiel und hier stolper ich in meiner Gedankenwelt etwas. Den Internetzugang möchte ich in das VLAN2 packen. Was ist zu tun?
Definiere ich auf dem Switch einen Trunk-Port mit allen VLANs und dann alle VLANs auf der Firewall? Oder geb ich der Firewall nur eine IP im 2er VLAN und definiere den Port dann als ACCESS Port auf dem Switch?
Vielleicht kann mir jemand den richtigen Weg zeigen oder kurz Vor/Nachteile skizzieren.
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 347103
Url: https://administrator.de/forum/grundkonfiguration-firewall-und-l3-switch-347103.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
24 Kommentare
Neuester Kommentar
Moin,
du kannst entweder deinen Switch routen lassen oder deinen Router das machen lassen, bei deinem kleinen Netz macht das keinen Unterschied.... Ich würde es vermutlich dann an den router hängen - weil der ja router heisst ;).
Bei grossen Netzen möchtest du das ggf. nicht da der Router z.B. anders angebunden sein kann (sagen wir mal mit 1 GBit weil du eh nur 50M nach aussen hast). Dann müssten sich diese 1x1 GBit-Leitung alle Netze teilen - wenn du von Vlan 10 in 20 willst würde es ja auch da durchgehen... da legt man das dann gerne auf den Switch um den Engpass zu vermeiden. Das hat den nachteil das die Routing-Regeln bei Switches allgemein nicht allzu viele Optionen lassen - und auch Firewallmässig ist da oft nix oder nur grundlegend. Da es sich aber um interne Netze handelt kann man das verschmerzen. Hat man dann doch ein Netz mit komplexeren Anforderungen kann man das ja immer noch durch den Router und/oder die Firewall jagen.
du kannst entweder deinen Switch routen lassen oder deinen Router das machen lassen, bei deinem kleinen Netz macht das keinen Unterschied.... Ich würde es vermutlich dann an den router hängen - weil der ja router heisst ;).
Bei grossen Netzen möchtest du das ggf. nicht da der Router z.B. anders angebunden sein kann (sagen wir mal mit 1 GBit weil du eh nur 50M nach aussen hast). Dann müssten sich diese 1x1 GBit-Leitung alle Netze teilen - wenn du von Vlan 10 in 20 willst würde es ja auch da durchgehen... da legt man das dann gerne auf den Switch um den Engpass zu vermeiden. Das hat den nachteil das die Routing-Regeln bei Switches allgemein nicht allzu viele Optionen lassen - und auch Firewallmässig ist da oft nix oder nur grundlegend. Da es sich aber um interne Netze handelt kann man das verschmerzen. Hat man dann doch ein Netz mit komplexeren Anforderungen kann man das ja immer noch durch den Router und/oder die Firewall jagen.
Hallo,
du definierst ein weiteres VLAN (zB FIREWALL) mit eigenem Subnetz; dann legst du einen Port des L3-Switches in dieses VLAN (untagged). An diesen Port schließt du die Firewall an. Switch-Port und Firewall~ haben jeweils eine IP aus diesem VLAN. Für den Switch-Port ist die Firewall-IP das Standard-GW und umgekehrt die Switch-Port-IP für die Firewall. Nun mußt du auf dem L3-Switch nur noch das Routing in das neue VLAN einrichten. Mit aktivem RIP oder OSPF geht das auch alleine.
Jürgen
du definierst ein weiteres VLAN (zB FIREWALL) mit eigenem Subnetz; dann legst du einen Port des L3-Switches in dieses VLAN (untagged). An diesen Port schließt du die Firewall an. Switch-Port und Firewall~ haben jeweils eine IP aus diesem VLAN. Für den Switch-Port ist die Firewall-IP das Standard-GW und umgekehrt die Switch-Port-IP für die Firewall. Nun mußt du auf dem L3-Switch nur noch das Routing in das neue VLAN einrichten. Mit aktivem RIP oder OSPF geht das auch alleine.
Jürgen
Der L3-Switch sollte schon Inter-VLAN-Routing tun. Deshalb hat man ihn ja wohl. Für die normalen VLANs (Sicherheitszone LAN) des L3-Switches konfigurierst du ein extra Uplink-VLAN und routest zwischen allen VLANs auf L3-Switch.
Ein WLAN-Gastnetz ist separat, nur Internetzugang. Eine DMZ ist zu separieren. Die entsprechenden VLANs sind direkt an die FW durchreichen, ein Inter-VLAN-Routing auf dem L3-Switch wäre völlig falsch.
Somit entstehen an der FW die üblichen Sicherheitszonen durch 3 entsprechende VLANs (Trunk 802.1q zum L3-Switch): WAN/Internet als physischer Port, DMZ, Gast, LAN (3 VLANs, 1 Trunk). 2 physische Ports für FW genügen bereits: Internet und Switch-Trunk.
Eventuell erstellt man auf dem L3-Switch neben LAN noch ein Serversegment sowie ein WLAN-Segment für Accesspoints (Gast-WLAN hatten wir schon separat behandelt). Läuft dann ebenfalls per gemeinsam gerouteten Uplink-VLAN zur FW.
Eventuell LAN aufteilen in weitere Sicherheitszonen: privat, Firma ... Da kann man Inter-VLAN-Routing eingeschränkt per Paketfilter nutzen oder Sicherheitszonen der Firewall. Letzteres wäre sicherheitstechnisch besser aber belastet Firewall mehr. Irgendwann ist auch die Kapazität/Datenrate des bisher einzigen Ports zum Switch zu Ende und man muss weitere Ports/Trunks zur FW schalten, muss Sicherheitszonen neu aufteilen, festlegen.
Weglassen darfst du, das Konzept bleibt.
Ein WLAN-Gastnetz ist separat, nur Internetzugang. Eine DMZ ist zu separieren. Die entsprechenden VLANs sind direkt an die FW durchreichen, ein Inter-VLAN-Routing auf dem L3-Switch wäre völlig falsch.
Somit entstehen an der FW die üblichen Sicherheitszonen durch 3 entsprechende VLANs (Trunk 802.1q zum L3-Switch): WAN/Internet als physischer Port, DMZ, Gast, LAN (3 VLANs, 1 Trunk). 2 physische Ports für FW genügen bereits: Internet und Switch-Trunk.
Eventuell erstellt man auf dem L3-Switch neben LAN noch ein Serversegment sowie ein WLAN-Segment für Accesspoints (Gast-WLAN hatten wir schon separat behandelt). Läuft dann ebenfalls per gemeinsam gerouteten Uplink-VLAN zur FW.
Eventuell LAN aufteilen in weitere Sicherheitszonen: privat, Firma ... Da kann man Inter-VLAN-Routing eingeschränkt per Paketfilter nutzen oder Sicherheitszonen der Firewall. Letzteres wäre sicherheitstechnisch besser aber belastet Firewall mehr. Irgendwann ist auch die Kapazität/Datenrate des bisher einzigen Ports zum Switch zu Ende und man muss weitere Ports/Trunks zur FW schalten, muss Sicherheitszonen neu aufteilen, festlegen.
Weglassen darfst du, das Konzept bleibt.
Zitat von @Maik20:
Ok. Also vom Aufbau:
VLAN2 = Internet
VLAN10 = Eltern
VLAN20 = Kind
VLAN30 = Server
VLAN35 = WLAN
VLAN40 = WLAN Gast
VLAN50 = DMZ
Wäre mir persönlich für ein Heimnetz zu viel.Zitat von @134058:
Der L3-Switch sollte schon Inter-VLAN-Routing tun. Deshalb hat man ihn ja wohl. Für die normalen VLANs (Sicherheitszone LAN) des L3-Switches konfigurierst du ein extra Uplink-VLAN und routest zwischen allen VLANs auf L3-Switch.
Der L3-Switch sollte schon Inter-VLAN-Routing tun. Deshalb hat man ihn ja wohl. Für die normalen VLANs (Sicherheitszone LAN) des L3-Switches konfigurierst du ein extra Uplink-VLAN und routest zwischen allen VLANs auf L3-Switch.
Ok. Also vom Aufbau:
VLAN2 = Internet
VLAN10 = Eltern
VLAN20 = Kind
VLAN30 = Server
VLAN35 = WLAN
VLAN40 = WLAN Gast
VLAN50 = DMZ
Jedenfalls ist wohl VLAN2 das Uplink-VLAN ohne eigene Access-Ports. Sollte zumindest so sein.
10, 20 und 35 dürfen auf 30 und auf 2, 30 darf nur auf 2 sonst nix.
Inter-VLAN-Routing eingeschränkt per Paketfilter/ACL gemeinsam mit VLAN2 = gerouteter Uplink für 10, 20, 30, 35.Die Firewall hat 4 Ports. Port 1 geht auf die SG300 ebenso an Port 1. Der Port ist als Trunk für alle VLANs konfiguriert? Richtig? Oder nur für 10, 20, 30?
Ein WLAN-Gastnetz ist separat, nur Internetzugang. Eine DMZ ist zu separieren. Die entsprechenden VLANs sind direkt an die FW durchreichen, ein Inter-VLAN-Routing auf dem L3-Switch wäre völlig falsch.
Hier steige ich aus.
Somit entstehen an der FW die üblichen Sicherheitszonen durch 3 entsprechende VLANs (Trunk 802.1q zum L3-Switch): WAN/Internet als physischer Port, DMZ, Gast, LAN (per Uplink-VLAN). 2 physische Ports für FW genügen bereits: Internet und Switch-Trunk.
Wieso 2 physische Ports an der Firewall?
Zitat von @Maik20:
Ich verstehe gerade den Unterschied nicht zwischen der bezeichnung (= gerouteter Uplink ...) und 40, 50?
Die Frage verstehe ich jetzt nicht. Egal, stelle dir einfach vor, du hast einen normalen Router mit mehreren LAN-Ports, den du an die FW anschließt. Der WAN-Port des Routers wäre der Uplink für alle "harmlosen" LAN-IP-Netzwerke. Die eigentlichen LAN-IP-Netzwerke bleiben lokal, der Router (in deinem Fall der L3-Switch) verbindet alles miteinander, was zum Internet muss, schickt er zum Uplink.Trunk nur für VLAN2 (= gerouteter Uplink für 10, 20, 30, 35) sowie 40 und 50. Somit sind "LAN-VLANs" (gleiche Sicherheitszone bezüglich FW) zusammengefasst - aber von DMZ und ...
Ich verstehe gerade den Unterschied nicht zwischen der bezeichnung (= gerouteter Uplink ...) und 40, 50?
Verkabeln tue ich alles nur über einen Port von der SG300 auf die Firewall. Den Port konfiguriere ich als Trunk für die VLANs 10, 20, 30, 35, 40 und 50. Wo ist jetzt der Unterschied? Bzw. wie konfiguriere ich auf der SG300 einen "gerouteten Uplink". Vielleicht verstehe ich es dann.
DMZ und Gast muss die FW behandeln, dazu ist sie da. Also beide VLANs direkt (ungeroutet) auf Trunk. Ist reines Layer2-Switching.
Was du vorhast, müsste man mit L2-Switch tun, mit L3-Switch kann man es tun, L3 so jedoch witzlos, jeder Traffic muss von FW behandelt werden. Selbst Traffic zwischen den "harmlosen" VLANs (Eltern, Kind, Server).
Wie du den SG300 speziell für L3/Routing konfigurieren musst, kann ich leider nicht sagen, habe keinen L3-Switch.
Hallo zusammen,
Es waäre daher immer besser uns alle Sachen im Detail mitzuteilen denn dann geht das alles auch schneller von statten.
- Welche Palo Alto Firewall ist das denn?
- Welches PANOS (Version) ist denn darauf installiert?
Da Du schreibst dass Deine PAN-PA keine LAGs unterstützt sind hier eigentlich nur zwei mögliche Treffer zu landen;
- Du hast eine PAN-PA-200 oder aber Dein PANOS ist älter als Version die 7.1
Es wäre halt immer nett wenn man so etwas nicht erraten müsste, dann kann man auch schneller helfen!
Also ab PANOS Version 7.1 ist auch die PA-200 in der Lage mit LAGs (LACP) umzugehen!
PANOS 6.1
PANOS 7.1
Die aktuelle Version von PANOS ist Version 8.0 und darauf sollte man auch updaten wenn man denn Risiken meiden
möchte. Aber dazu gilt;
- Ist man unter Version 7.1 muss/sollte man zuerst auf Version 7.1 updaten und dann erst auf Version 8.0
- Ist man schon auf Version 7.1 kann man gleich auf die Version 8.0 updaten.
die PA-200 ist "nur" für das WAN und DMZ Routing zuständig. Auch die PA-200 kann eine DMZ Zone oder einen DMZ Port
konfigurieren und von daher würde ich glatt dazu raten dass man das eine VLAN einfach weglässt in dem man dort einen
kleinen 5 oder 8 Port Switch dran anschließt und dann dort eine richtige DMZ einrichtet anstatt des VLANs, das ist sicherer
und mit 25 Euro bis 35 Euro auch noch leicht zu stemmen.
der PA-200 dann das gateway ist, fertig.
In dem VLAN ist dann nur die PA-200 und die IP Netze seollten natürlich dazu passen.
- VLANs auf dem SG300 anlegen
- Einen Port zum DMZ Port machen
- Die Firewall in ein extra oder eigenes VLAN rein packen
Gruß
Dobby
ich bastel gerade etwas an meinem Heimnetz.
Du siehst walles was Du dort stehen hast und wir müssen uns das denken und/oder raten!Es waäre daher immer besser uns alle Sachen im Detail mitzuteilen denn dann geht das alles auch schneller von statten.
- Welche Palo Alto Firewall ist das denn?
- Welches PANOS (Version) ist denn darauf installiert?
Dazu habe ich hier einen SG300 von Cisco im L3 und eine Firewall von Palo.
Also ich kenne die Palo Alto Firewalls nur als NG-Firewall und das schließt eigentlich alle UTM Funktionen mit ein.Da Du schreibst dass Deine PAN-PA keine LAGs unterstützt sind hier eigentlich nur zwei mögliche Treffer zu landen;
- Du hast eine PAN-PA-200 oder aber Dein PANOS ist älter als Version die 7.1
Es wäre halt immer nett wenn man so etwas nicht erraten müsste, dann kann man auch schneller helfen!
Also ab PANOS Version 7.1 ist auch die PA-200 in der Lage mit LAGs (LACP) umzugehen!
PANOS 6.1
PANOS 7.1
Die aktuelle Version von PANOS ist Version 8.0 und darauf sollte man auch updaten wenn man denn Risiken meiden
möchte. Aber dazu gilt;
- Ist man unter Version 7.1 muss/sollte man zuerst auf Version 7.1 updaten und dann erst auf Version 8.0
- Ist man schon auf Version 7.1 kann man gleich auf die Version 8.0 updaten.
Auf dem Switch sind diverse VLANs (10, 20, 30) konfiguriert. Auf dem Switch regeln ACLs den Zugriff zwischen den VLANs.
Ok Du hast hier zwei Möglichkeiten, die PA-200 routet alle VLANs für Dich oder aber der Cisco SG300 Switch macht das unddie PA-200 ist "nur" für das WAN und DMZ Routing zuständig. Auch die PA-200 kann eine DMZ Zone oder einen DMZ Port
konfigurieren und von daher würde ich glatt dazu raten dass man das eine VLAN einfach weglässt in dem man dort einen
kleinen 5 oder 8 Port Switch dran anschließt und dann dort eine richtige DMZ einrichtet anstatt des VLANs, das ist sicherer
und mit 25 Euro bis 35 Euro auch noch leicht zu stemmen.
Jetzt kommt die Firewall ins Spiel und hier stolper ich in meiner Gedankenwelt etwas. Den Internetzugang möchte ich
in das VLAN2 packen. Was ist zu tun?
Der Internetzugang bleibt einfach wie er ist an der PA-200 und man setzt einfach ein neues VLAN auf in dem die IP Adressein das VLAN2 packen. Was ist zu tun?
der PA-200 dann das gateway ist, fertig.
Definiere ich auf dem Switch einen Trunk-Port mit allen VLANs und dann alle VLANs auf der Firewall?
Dann würde die Firewall die VLAN routen! Aber das möchtest Du ja so gar nicht zumindest wie ich das hier verstanden habe!In dem VLAN ist dann nur die PA-200 und die IP Netze seollten natürlich dazu passen.
Oder geb ich der Firewall nur eine IP im 2er VLAN und definiere den Port dann als ACCESS Port auf dem Switch?
VLAN anlegen, PA-200 rein packen und dann ist doch eigentlich alles in Ordnung.Vielleicht kann mir jemand den richtigen Weg zeigen oder kurz Vor/Nachteile skizzieren.
- PA-200 updaten- VLANs auf dem SG300 anlegen
- Einen Port zum DMZ Port machen
- Die Firewall in ein extra oder eigenes VLAN rein packen
Gruß
Dobby
P.S.
DHCP aus.
Ports und Weiterleitungen ins LAN aufmachen.
anleget und dann hin zur Palo Alto Firewall leitet damit diese die VLANs dann routet, aber das möchtest Du ja nicht da der
Switch im Layer3 Modus und die VLANs alle selber routet.
- Der Switch kann auf jeden Fall die VLANs routen, warum auch nicht? Denn dann ist auf jeden fall mehr Luft für die Firewall
und der Cisco SG300 macht das auch mit nahe zu wire speed! Dazu ist der genau richtig.
Firewall macht dann das WAN und DMZ Routing, fertig.
Gruß
Dobby
Ok. Also vom Aufbau:
VLAN2 = Internet
Ein VLAN in das die PA-200 kommt und die IP adresse der PA-200 ist dann auch gleich die gateway Adresse des VLANs.VLAN2 = Internet
DHCP aus.
VLAN10 = Eltern
VLAN20 = Kind
VLAN30 = Server
OkVLAN20 = Kind
VLAN30 = Server
VLAN35 = WLAN
VLAN40 = WLAN Gast
WLAN Gast nur Internet und WLAN privat für alle dorthin wo si cran sollen bzw. dürfenVLAN40 = WLAN Gast
VLAN50 = DMZ
Lieber einen richtigen Port der PA-200 benutzen und dann dort eine DMZ draus machen! Dann muss man keinePorts und Weiterleitungen ins LAN aufmachen.
Der Switch läuft als L3 und die ACLs sind auf dem Switch erstellt.
Gut also soll der dann auch die VLANs routen, denn so ist er jetzt zur zeit konfiguriert!?10, 20 und 35 dürfen auf 30 und auf 2, 30 darf nur auf 2 sonst nix. Die Default Route geht auf 10.2.5.1
Und 10.2.5.1/24 sollte die IP Adresse der PA-200 sein und in VLAN2Die Firewall hat 4 Ports. Port 1 geht auf die SG300 ebenso an Port 1.
Der Port ist als Trunk für alle VLANs konfiguriert? Richtig? Oder nur für 10, 20, 30?
Nein denn TRUNK befödert ja die VLANs zur PA-200 direkt hin! Das wäre ja nur der Fall wenn man auf dem Switch alle VLANsanleget und dann hin zur Palo Alto Firewall leitet damit diese die VLANs dann routet, aber das möchtest Du ja nicht da der
Switch im Layer3 Modus und die VLANs alle selber routet.
Hier steige ich aus. Verbinde ich die Firewall erneut mit dem Switch über einen anderen Port? Wird das dann auch ein Trunk?
Die Defaultroute gibt es dich nur einmal.
- Die DMZ wird auf einem LAN Port der PA-200 konfiguriertDie Defaultroute gibt es dich nur einmal.
- Der Switch kann auf jeden Fall die VLANs routen, warum auch nicht? Denn dann ist auf jeden fall mehr Luft für die Firewall
und der Cisco SG300 macht das auch mit nahe zu wire speed! Dazu ist der genau richtig.
Oben sprichst du doch von einem inter-vlan-routing??
Das VLAN Routing oder Routing zwischen den VLANs macht der Switch wenn er im Layer3 Modus betrieben wird und dieFirewall macht dann das WAN und DMZ Routing, fertig.
Gruß
Dobby
"Geplant war ursprünglich das primär der Switch routed um den Engpass in der Verbindung Switch/Firewall zu vermeiden. Ich jedoch bzgl. Internet für jedes VLAN auf der PA eigene Zonen und ich damit ein eigenes Regelwerk hinterlegen kann. Oder zumindest für VLAN Kind eine eigene Zone. Ich glaube verstanden zu haben das beides nicht geht. Oder?""
Wenn du wirklich für jedes VLAN (auch für die "harmlosen") eigene Zonen auf der FW willst, musst du jedes VLAN zur FW trunken. Nachteile siehe oben.
Vorgeschlagen wurde, dass der SG300 zwischen den "harmlosen" VLANs und dessen Uplink-VLAN routet. Damit ist erst mal jeder Inter-VLAN-Traffic zwischen den "harmlosen" VLANs möglich. Verkehrseinschränkungen machst du per Paketfilter/ACLs auf dem SG300.
https://documentation.meraki.com/MS/Layer_3_Switching/Layer_3_Switch_Exa ...
Schaue mal das Bild an: Dein SG300 ist der Distribution-Switch einschließlich Router und Access-Switch. Male dir gedanlich ein Gehäuse um die 3 Geräte. Betrachte das Bild nur als gültig für deine "hamlosen", vom L3-Switch gerouteten VLANs. Zur FW wird ein Uplink-VLAN getrunkt, es entsteht so die Sicherheitszone LAN/Trusted für die "harmlosen" VLANs (Eltern, Kind, Server).
DMZ und Gast-VLAN nicht routen aber trunken, so entstehen die Sicherheitszonen DMZ und GAST. Also weitere 2 VLANs auf Trunk. Nicht im Bild dargestellt.
So, besser kann ich es nicht erklären.
Wenn du wirklich für jedes VLAN (auch für die "harmlosen") eigene Zonen auf der FW willst, musst du jedes VLAN zur FW trunken. Nachteile siehe oben.
Vorgeschlagen wurde, dass der SG300 zwischen den "harmlosen" VLANs und dessen Uplink-VLAN routet. Damit ist erst mal jeder Inter-VLAN-Traffic zwischen den "harmlosen" VLANs möglich. Verkehrseinschränkungen machst du per Paketfilter/ACLs auf dem SG300.
https://documentation.meraki.com/MS/Layer_3_Switching/Layer_3_Switch_Exa ...
Schaue mal das Bild an: Dein SG300 ist der Distribution-Switch einschließlich Router und Access-Switch. Male dir gedanlich ein Gehäuse um die 3 Geräte. Betrachte das Bild nur als gültig für deine "hamlosen", vom L3-Switch gerouteten VLANs. Zur FW wird ein Uplink-VLAN getrunkt, es entsteht so die Sicherheitszone LAN/Trusted für die "harmlosen" VLANs (Eltern, Kind, Server).
DMZ und Gast-VLAN nicht routen aber trunken, so entstehen die Sicherheitszonen DMZ und GAST. Also weitere 2 VLANs auf Trunk. Nicht im Bild dargestellt.
So, besser kann ich es nicht erklären.
Zitat von @Maik20:
Ich habe glaub ich habe verstanden was du meinst. Einzig an der Umsetzung hapert es. Wie kann ich der SG300 z.B. sagen das dieser das Gast VLAN nicht routen sondern nur switchen soll. Bislang ging ich davon aus, das wenn im L3 immer ein Routing erfolgt und bei unbekannten Adressen die default-Route greift.
Na sicher greift die Default-Route. Eischränkungen per Paketfilter/ACLs auf SG300.Ich habe glaub ich habe verstanden was du meinst. Einzig an der Umsetzung hapert es. Wie kann ich der SG300 z.B. sagen das dieser das Gast VLAN nicht routen sondern nur switchen soll. Bislang ging ich davon aus, das wenn im L3 immer ein Routing erfolgt und bei unbekannten Adressen die default-Route greift.
Mal eine weitere Frage. Was würdest du mit einem Voice-VLAN machen? Ähnlich wie ein Gast auf den Trunk oder in den inter-vlan-bereich der "harmlosen" vlans?
Kommt drauf an, wo/wie die TK-Anlage angeschlossen ist. Eine Fritzbox vor Firewall - dann VLAN direkt zur FW und ohne Routing im SG300 dort hin! TK-Anlage am Switch - kürzester Weg ohne Routing! Den Internetzugang möchte ich in das VLAN2 packen. Was ist zu tun?
Oben ist ja schon alles gesagt worden aer die ToDos sind immer die gleichen.Das VLAN 2 sollke KEIN Produktiv VLAN sein, sondenr für den Internet Zugang via L3 Switch sollte immer ein separates VLAN genutzt werden um den Traffic aus dem Produktiv VLANs fernzuhalten.
Dann sind die Schritte ganz einfach:
- Default Route im Switch auf die IP der Firewall im VLAN 2 setzen ( ip route 0.0.0.0 0.0.0.0 <ip_adr_firewall> )
- In der Firewall statische Routen auf die VLANs 10, 20 und 30 etc. setzen mit next Hop IP der Switch IP in VLAN 2.
2 = 172.16.2.0 /24
10 = 172.16.10.0 /24
20 = 172.16.20.0 /24
30 = 172.16.30.0 /24
Kannst du all diese Netze mit einer einzigen Summary Route zusammenfassen wie z.B. mit einem 18er oder 17er Prefix:
ip route 172.16.0.0 255.255.192.0 <ip_adr_switch-vlan2>
bzw.
ip route 172.16.0.0 255.255.128.0 <ip_adr_switch-vlan2>
Das routet dann alle IP Netze von .0.0 bis .63.0 oder bis .128.0 auf dem L3 Switch mit einer einzigen route statt umständlich alle Netze einzeln einzutragen.
Willst du einzelne Netze wie Eltern und Kind nicht über den Switch routen sondern nur direkt über die Firewall, dann nimmst du einen tagged Uplink vom Switch auf den Firewall Port mit VLAN 2 als Native VLAN und taggst dieses oder diese separate VLANs auf die FW.
Diese VLANs haben dann natürlich keine IP Adressen auf dem Switch um sie völlig vom Switch Routing zu isolieren und das Routing ausschliesslich über die Firewall laufen zu lassen.
So ist ein "Mischbetrieb" wie du es nennst natürlich problemlos möglich.
Eigentlich alles ganz einfach wenn man etwas nachdenkt ....!
Zitat von @Maik20:
Also einfach für das Gast-VLAN ein DENY ALL und dann das VLAN auf den Trunk? Dann entspräche dies dem von dir genannten Switching? Ist dann die Default Route auch ausgeschlossen?
Nein, die VLANs sind doch ohne Routing getrennt, also GAST-VLAN sowie DMZ werden vom L3-Switch NICHT geroutet sondern direkt zur FW getrunkt, damit diese die Sicherheitszonen bilden, Traffic entsprechend behandeln, routen bzw. isolieren kann.Also einfach für das Gast-VLAN ein DENY ALL und dann das VLAN auf den Trunk? Dann entspräche dies dem von dir genannten Switching? Ist dann die Default Route auch ausgeschlossen?
Nochmals: Für DMZ und GAST ist auf dem SG300 KEINE IP-Konfiguration (Adressen, Routen, ACLs ...) erforderlich. Das machst du AUSSCHLIESSLICH auf der Firewall, auf den entsprechenden virtuellen Interfaces dafür.
Der SG300 hat für diese Netze nur die VLAN-Konfiguration wie ein stinknormaler L2-Switch. Also hübsch voneinander und von (nur untereinander - per ACLs eingeschränkt - gerouteten) Produktivnetzen getrennt.
NOCHMALS wiederhole ich mich nicht, du hast teure Profi-Technik, beschäftige dich nun mit den BASICS!!!
Zu den "harmlosen" VLANs hat Aqui alles ausführlich gesagt - und er hat NICHT von DMZ/Gast gesprochen!
Nein, die VLANs sind doch ohne Routing getrennt,
Der TO sagt aber was ganz anderes...."Auf dem Switch regeln ACLs den Zugriff zwischen den VLANs...."
Sagt ja erstmal das er alle VLANs auf dem L3 Switch routet, oder ?
Richtig ist das man diese VLANs auf dem Switch von der IP Adressierung ausnehmen muss und direkt per tagged Uplink auf die FW übertragen muss um sie dort zu routen.
" Richtig ist das man diese VLANs auf dem Switch von der IP Adressierung ausnehmen muss und direkt per tagged Uplink auf die FW übertragen muss um sie dort zu routen. "
Genau. Und das gelingt mir offensichtlich und leider nicht, dem TO beizubringen.
Genau. Und das gelingt mir offensichtlich und leider nicht, dem TO beizubringen.
Jetzt hab ich es. Wenn jemand gesagt hätte richte das VLAN ohne IP-Adressierung ein,
Das muss dann aber kein Layer3 sein, und zum Anderen routet dann die Firewall wieder alles alleine.dann switcht er wie L2 hätte ich es glaub ich auch eher gerafft. Der Link fehlte nir im Kopf.
Dazu muss man in der Regel das Layer3 Menü nur ausschalten, fertig.Gruß
Dobby