HP Aruba 2540 Management VLan
Hallo zusammen,
ich habe eine Frage in Richtung VLan Segmentierung im Bezug auf HP Aruba Switches.
Konkret ist mein Anliegen, den Switch nicht mehr vom eigentlichen Standard-Clientnetz aus zu administrieren, sondern die Management-Oberfläche (sprich die Services wie Web-Interface, Telnet, SSH) in ein eigenes abgeschottetes VLan zu verlagern.
Das bisherige Default VLan (ID: 1) Subnetz 192.168.10.0 / 255.255.255.0 - bisher für Clients und Switches
Das neue Management VLan (ID: 10) Subnetz 192.168.30.0 255.255.255.0 - zukünftig sollen hier die Management-Oberflächen der Switches erreichbar sein
Nun kann man ja ein VLan für das Management erstellen, dem Switch eine IP aus diesem VLan zuteilen und dann ist diese Adresse auch pingbar. (Beispiel: 192.168.30.5)
Leider sind auf der neuen Adresse jetzt aber Web-Interface, Telnet und SSH nicht nutzbar.
Ebenfalls ausprobiert habe ich die Option "Management-VLan" am jeweiligen VLan - das funktioniert anscheinend, jedoch ist dann die Oberfläche wirklich nur für Member des jeweiligen VLan erreichbar.
Ich stelle es mir so vor, dass ich auf der Firewalleine Ausnahme einrichten kann, um vom Administrator-Client aus dem Clientnetz auf die Management-Oberflächen der Switche im Management-Netz zugreifen zu können. Ich würde mich ungern jedes Mal mit dem Administrator-Client auf das VLan (10) stecken, wenn Änderungen am Switch anstehen.
Hat jemand einen guten Lösungsansatz?
ich habe eine Frage in Richtung VLan Segmentierung im Bezug auf HP Aruba Switches.
Konkret ist mein Anliegen, den Switch nicht mehr vom eigentlichen Standard-Clientnetz aus zu administrieren, sondern die Management-Oberfläche (sprich die Services wie Web-Interface, Telnet, SSH) in ein eigenes abgeschottetes VLan zu verlagern.
Das bisherige Default VLan (ID: 1) Subnetz 192.168.10.0 / 255.255.255.0 - bisher für Clients und Switches
Das neue Management VLan (ID: 10) Subnetz 192.168.30.0 255.255.255.0 - zukünftig sollen hier die Management-Oberflächen der Switches erreichbar sein
Nun kann man ja ein VLan für das Management erstellen, dem Switch eine IP aus diesem VLan zuteilen und dann ist diese Adresse auch pingbar. (Beispiel: 192.168.30.5)
Leider sind auf der neuen Adresse jetzt aber Web-Interface, Telnet und SSH nicht nutzbar.
Ebenfalls ausprobiert habe ich die Option "Management-VLan" am jeweiligen VLan - das funktioniert anscheinend, jedoch ist dann die Oberfläche wirklich nur für Member des jeweiligen VLan erreichbar.
Ich stelle es mir so vor, dass ich auf der Firewalleine Ausnahme einrichten kann, um vom Administrator-Client aus dem Clientnetz auf die Management-Oberflächen der Switche im Management-Netz zugreifen zu können. Ich würde mich ungern jedes Mal mit dem Administrator-Client auf das VLan (10) stecken, wenn Änderungen am Switch anstehen.
Hat jemand einen guten Lösungsansatz?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41295165628
Url: https://administrator.de/contentid/41295165628
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
4 Kommentare
Neuester Kommentar
Servus,
kopiere dir mal aus der Anleitung von Aruba.
Management VLAN
ID
The Management IP address configured on this tile is applied to the Management
VLAN.
By default, the management VLAN ID is 1. The management VLAN can be any value
between 1 and 4092. All ports are members of VLAN 1 by default; the administrator
may want to create a different VLAN to assign as the management VLAN. In this case,
the IP address is applied to the other VLAN configured by the user.
A VLAN that does not have any member ports (either tagged or untagged) cannot be
configured as the management VLAN.
When the network protocol is configured to be DHCP, any change in the configured
management VLAN ID may cause disruption in connectivity because the switch
acquires a new IP address when the management subnet is changed. To reconnect to
the switch, the user must determine the new IP address by viewing the log on the
DHCP server
Hilft dir das ?
kopiere dir mal aus der Anleitung von Aruba.
Management VLAN
ID
The Management IP address configured on this tile is applied to the Management
VLAN.
By default, the management VLAN ID is 1. The management VLAN can be any value
between 1 and 4092. All ports are members of VLAN 1 by default; the administrator
may want to create a different VLAN to assign as the management VLAN. In this case,
the IP address is applied to the other VLAN configured by the user.
A VLAN that does not have any member ports (either tagged or untagged) cannot be
configured as the management VLAN.
When the network protocol is configured to be DHCP, any change in the configured
management VLAN ID may cause disruption in connectivity because the switch
acquires a new IP address when the management subnet is changed. To reconnect to
the switch, the user must determine the new IP address by viewing the log on the
DHCP server
Hilft dir das ?
Dein Vorhaben ist erstmal der richtige Weg, denn die Management Zugänge von Infrastrukturkomponenten sollten aus guten Gründen niemals aus Produktivnetzen erreichbar sein.
Ohne ein Gateway ist bekanntlich der Zugang aus anderen IP Netzen nicht möglich weil die Rückroute dann ins Nirwana geht. (Siehe Routing Grundlagen hier)
Das Gateway oder die Default Route des Switches muss also auf den zentralen VLAN Router zeigen der deine VLANs untereinander routet. Ist das der Fall klappt dann auch der Zugang aus anderen Netzen völlig problemlos.
Gleiches gilt natürlich wenn irgendwelche Zugangsbeschränkungen in Form von Firewallregeln oder Access Listen auf dem VLAN Router o. Firewall vorhanden sind. Hier müssen die entsprechenden Management Protokolle (SSH, SNMP usw.) ins Management Segment passieren dürfen.
Bei vielen einfachen L2 Switches ist das IP Management Interface global an alle Layewr 2 VLANs angeflanscht. Aus Sicherheitsgründen natürlich fatal, weil so jeder mit der korrekte IP von überall her zugreifen kann. Sowas will man mit einem dedizierten Management VLAN natürlich genau verhindern ist aber eine Kröte die man oft schlucken muss wenn das Budget vor Sicherheit entscheidet! ☹️
Etwas bessere Switches können den L2 Zugang auf bestimmte VLAN IDs begrenzen. Im Default ist das dann immer das VLAN 1.
Mit dem "Management VLAN" Kommando kann man in dem Falle dann das Bridging des Management IP Interfaces auf ein anderes VLAN fest binden indem man dann dessen ID dort angibt. Zugriffe aus anderen VLANs sind dann nicht mehr möglich weil dann nur Traffic aus diesem VLAN auf das Management Interface geforwardet wird.
Ein nicht nur bei den Aruba Gurken übliches Standardverhalten was aus Sicherheitssicht natürlich auch absolut Sinn macht!
jedoch ist dann die Oberfläche wirklich nur für Member des jeweiligen VLan erreichbar.
Das ist ein sicheres Indiz dafür das du sehr wahrscheinlich vergessen hast auf dem betreffenden Switch ein Default Gateway oder eine Default Route fürs Management einzutragen!Ohne ein Gateway ist bekanntlich der Zugang aus anderen IP Netzen nicht möglich weil die Rückroute dann ins Nirwana geht. (Siehe Routing Grundlagen hier)
Das Gateway oder die Default Route des Switches muss also auf den zentralen VLAN Router zeigen der deine VLANs untereinander routet. Ist das der Fall klappt dann auch der Zugang aus anderen Netzen völlig problemlos.
Gleiches gilt natürlich wenn irgendwelche Zugangsbeschränkungen in Form von Firewallregeln oder Access Listen auf dem VLAN Router o. Firewall vorhanden sind. Hier müssen die entsprechenden Management Protokolle (SSH, SNMP usw.) ins Management Segment passieren dürfen.
Bei vielen einfachen L2 Switches ist das IP Management Interface global an alle Layewr 2 VLANs angeflanscht. Aus Sicherheitsgründen natürlich fatal, weil so jeder mit der korrekte IP von überall her zugreifen kann. Sowas will man mit einem dedizierten Management VLAN natürlich genau verhindern ist aber eine Kröte die man oft schlucken muss wenn das Budget vor Sicherheit entscheidet! ☹️
Etwas bessere Switches können den L2 Zugang auf bestimmte VLAN IDs begrenzen. Im Default ist das dann immer das VLAN 1.
Mit dem "Management VLAN" Kommando kann man in dem Falle dann das Bridging des Management IP Interfaces auf ein anderes VLAN fest binden indem man dann dessen ID dort angibt. Zugriffe aus anderen VLANs sind dann nicht mehr möglich weil dann nur Traffic aus diesem VLAN auf das Management Interface geforwardet wird.
Ein nicht nur bei den Aruba Gurken übliches Standardverhalten was aus Sicherheitssicht natürlich auch absolut Sinn macht!
Hallo,
nimm doch einfach dem Management Port des Switches, dem kannst du einen andere IP zuweisen und in dein MM-VLAN packen.
PS: Neben Aruba habe ich nun auch Switche von FS, Layer 3, ACL,... zu Preisen das ich gleich zwei (cold Standby, Testgerät) gekauft hatte. Gerne mal mit den Preisen von HPE vergleichen
nimm doch einfach dem Management Port des Switches, dem kannst du einen andere IP zuweisen und in dein MM-VLAN packen.
PS: Neben Aruba habe ich nun auch Switche von FS, Layer 3, ACL,... zu Preisen das ich gleich zwei (cold Standby, Testgerät) gekauft hatte. Gerne mal mit den Preisen von HPE vergleichen
- Teststellung gibt es, 30-60 Tage https://www.fs.com/
- Erfahrung mit FS.com (Alternative zu HP HPE Cisco Netzwerk)
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?