Kaufberatung Switch mit Routing und ACL
Hallo zusammen,
wir haben auf der Arbeit eine Anforderung für einen zentralen Kommunikationsserver für ein Bürogebäude bekommen.
Habe hier schon einige Beiträge gelesen aber nicht so ganz das richtige gefunden.
Jeder Mieter hat sein eigenes Netzwerk.
Jeder Mieter soll auf den Kommunikationsserver Zugriff haben aber die Mieter dürfen kein Zugriff untereinander haben.
Jetzt habe ich mir gedacht einen Switch zu nehmen, an die alle Mieter mit VLAN angeschlossen werden, und geroutet wird.
In anderen Beiträgen habe ich etwas von ACL gelesen. Verstehe ich das richtig, das man damit Traffic nur auf bestimmte IP Adressen/Netze
erlauben oder verbieten kann ?
Welche Switche sind für das obige Szenario geeignet ?
Gerne könnt ihr schreiben, welche ältere Switche das können, die man z.B. bei eBay gebraucht bekommen kann.
Würde mir gerne einen für Test- und Übungszwecke kaufen.
Danke
lanazy
wir haben auf der Arbeit eine Anforderung für einen zentralen Kommunikationsserver für ein Bürogebäude bekommen.
Habe hier schon einige Beiträge gelesen aber nicht so ganz das richtige gefunden.
Jeder Mieter hat sein eigenes Netzwerk.
Jeder Mieter soll auf den Kommunikationsserver Zugriff haben aber die Mieter dürfen kein Zugriff untereinander haben.
Jetzt habe ich mir gedacht einen Switch zu nehmen, an die alle Mieter mit VLAN angeschlossen werden, und geroutet wird.
In anderen Beiträgen habe ich etwas von ACL gelesen. Verstehe ich das richtig, das man damit Traffic nur auf bestimmte IP Adressen/Netze
erlauben oder verbieten kann ?
Welche Switche sind für das obige Szenario geeignet ?
Gerne könnt ihr schreiben, welche ältere Switche das können, die man z.B. bei eBay gebraucht bekommen kann.
Würde mir gerne einen für Test- und Übungszwecke kaufen.
Danke
lanazy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169897
Url: https://administrator.de/contentid/169897
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
20 Kommentare
Neuester Kommentar
Hi !
Du könntest evt. auch einen L2 Switch verwenden, der eine "Private VLAN" (Cisco Jargon) Funktion bereitstellt. Andere Hersteller nennen diese Funktionalität oft auch FTU-VLAN, weil alle Ports des Switches nur mit einem gemeinsamen Uplink-Port Verbindung haben jedoch nicht untereinander. Der Vorteil (wenn man es so nennen darf) liegt darin, dass L2 Switche natürlich wesentlich preisgünstiger sind, der Nachteil ist, dass solche Switche natürlich nicht routen können, die Clients sich also im gleichen Netzwerksegment sind, sich jedoch nicht gegenseitig sehen können.
Wir haben solche Switche z.B. in Hotels für die Trennung der einzelnen Zimmer untereinander (bzw. WLAN APs) im Einsatz.
mrtux
Du könntest evt. auch einen L2 Switch verwenden, der eine "Private VLAN" (Cisco Jargon) Funktion bereitstellt. Andere Hersteller nennen diese Funktionalität oft auch FTU-VLAN, weil alle Ports des Switches nur mit einem gemeinsamen Uplink-Port Verbindung haben jedoch nicht untereinander. Der Vorteil (wenn man es so nennen darf) liegt darin, dass L2 Switche natürlich wesentlich preisgünstiger sind, der Nachteil ist, dass solche Switche natürlich nicht routen können, die Clients sich also im gleichen Netzwerksegment sind, sich jedoch nicht gegenseitig sehen können.
Wir haben solche Switche z.B. in Hotels für die Trennung der einzelnen Zimmer untereinander (bzw. WLAN APs) im Einsatz.
mrtux
Hi !
Ja, ich stimme Dir da grundsätzlich zu! Bei Mietparteien ist das nicht wirklich ratsam aber rein technisch gesehen machbar. Aber dieses Problematik sehe ich auch, wenn er (ohne durchdachtes Sicherheitskonzept) einfach zwischen den Mietwohnungen routet....
mrtux
Ja, ich stimme Dir da grundsätzlich zu! Bei Mietparteien ist das nicht wirklich ratsam aber rein technisch gesehen machbar. Aber dieses Problematik sehe ich auch, wenn er (ohne durchdachtes Sicherheitskonzept) einfach zwischen den Mietwohnungen routet....
mrtux
Hallo,
ich kann euch nur raten das ihr euch die Hilfe eines Systemhauses holt!
In einer solchen Umgebung tretet ihr quasi als Provider auf!
Daher sollte sich jemand intensiv mit diesem Thema beschäftigen, und das Konzept dafür erarbeiten.
In Frage kommen hier auf jeden Fall nur Geräte der Professionellen Liga also Hersteller wie Cisco, Entensys oder HP.
Wobei ich mich immer für Cisco entscheiden würde.
Für deine Testumgebung kannst du ja mal bei ebay und Konsorten nach Cisc 3560 als Layer 3 oder Cisco 2960 als Layer 2 Switch schauen.
brammer
ich kann euch nur raten das ihr euch die Hilfe eines Systemhauses holt!
In einer solchen Umgebung tretet ihr quasi als Provider auf!
Daher sollte sich jemand intensiv mit diesem Thema beschäftigen, und das Konzept dafür erarbeiten.
In Frage kommen hier auf jeden Fall nur Geräte der Professionellen Liga also Hersteller wie Cisco, Entensys oder HP.
Wobei ich mich immer für Cisco entscheiden würde.
Für deine Testumgebung kannst du ja mal bei ebay und Konsorten nach Cisc 3560 als Layer 3 oder Cisco 2960 als Layer 2 Switch schauen.
brammer
Guten Morgen,
habe vorige Woche erst zwei HP ProCurve 1810G-24 eingebaut und muss sagen, diese Dinger sind super.
Du kannst mehr als 2000VLANs erstellen usw. schau es dir einfach mal online an.
Nun zu deinem Problem:
Also wenn du jedem deiner Mieter einen festen IP-Bereich gibst könntest du das dadurch lösen, dass du im IP Adressenbereich:
Mieter 1 10.0.1.x
Mieter 2 10.0.2.x
Mieter 3 10.0.3.x etc.
das ganze musst du natürlich auf dem Switch noch so konfigurieren das jeder Mieter der einen Port auf dem Switch hat sein eigenes VLAn hat damit nicht ein schalauer mieter seine ip ändert und dann beim nachbar drinnen ist.
dann stellste am Trunk Port (Uplink Port wo alle VLANs drüber laufen) z.b. ein Linux Firewall distribution hin wie IPfire. dort machst du dann deinen virtuellen devices mit den VLAN tags und den IP bereichen und diese routet die netzwerke dann weiter in das Internet und zum deinem Kommunikationsserver der an einer anderen Netzwerkkarte von der Ipfire hängt.
Natrlich bist du nicht auf HP festgelegt, dies könnne ebenfalls wie es brammer schon schrieb: Cisco oder evtl. sogar Netgear Switche sein.
Aber ich finde dabei HP am besten bestes Preisleistungsverhältnis und die Konfiguration geht schön von der Hand.
Gruß
habe vorige Woche erst zwei HP ProCurve 1810G-24 eingebaut und muss sagen, diese Dinger sind super.
Du kannst mehr als 2000VLANs erstellen usw. schau es dir einfach mal online an.
Nun zu deinem Problem:
Also wenn du jedem deiner Mieter einen festen IP-Bereich gibst könntest du das dadurch lösen, dass du im IP Adressenbereich:
Mieter 1 10.0.1.x
Mieter 2 10.0.2.x
Mieter 3 10.0.3.x etc.
das ganze musst du natürlich auf dem Switch noch so konfigurieren das jeder Mieter der einen Port auf dem Switch hat sein eigenes VLAn hat damit nicht ein schalauer mieter seine ip ändert und dann beim nachbar drinnen ist.
dann stellste am Trunk Port (Uplink Port wo alle VLANs drüber laufen) z.b. ein Linux Firewall distribution hin wie IPfire. dort machst du dann deinen virtuellen devices mit den VLAN tags und den IP bereichen und diese routet die netzwerke dann weiter in das Internet und zum deinem Kommunikationsserver der an einer anderen Netzwerkkarte von der Ipfire hängt.
Natrlich bist du nicht auf HP festgelegt, dies könnne ebenfalls wie es brammer schon schrieb: Cisco oder evtl. sogar Netgear Switche sein.
Aber ich finde dabei HP am besten bestes Preisleistungsverhältnis und die Konfiguration geht schön von der Hand.
Gruß
Hallo,
wir haben das etwas anders gelöst und sicher auch etwas teurer.
Wir haben jedem Mieter an einem Juniper J2320 Router angesteckt eine Firewall dazwischen und dann eine eigene öffentliche IP.
Ist zwar etwas Kostenintensiver aber da wir genug IP-Adressen hatten (langsam werden die wirklich knapp) und da das für Firmen die beste Lösung ist um eigene Server dahinter zu hosten.
Gruß
wir haben das etwas anders gelöst und sicher auch etwas teurer.
Wir haben jedem Mieter an einem Juniper J2320 Router angesteckt eine Firewall dazwischen und dann eine eigene öffentliche IP.
Ist zwar etwas Kostenintensiver aber da wir genug IP-Adressen hatten (langsam werden die wirklich knapp) und da das für Firmen die beste Lösung ist um eigene Server dahinter zu hosten.
Gruß
Von den HPs kann man dir nur dringend abraten. Die supporten weder private VLANs noch einigermaßen gescheite Accesslisten auf IP Basis.
Sieh dich nach alten Cisco 2950ern oder 3550ern um bei eBay, da hast du das rundum sorglos Programm und kannst deine Lösung dann entweder mit gerouteten und gesicherten Layer 3 Netzwerken pro Kunde lösen oder eben mit den sog. private VLANs.
Auch eine Lösung mit einem simplen einfachen Layer 2 Switch und einer Router/Firewall wie hier im Tutorial beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
ist problemlos und preiswert möglich mit einem billigen Web Smart Switch.
Alle Optionen führen zum Erfolg ! Such dir die schönste und für dich passenste aus !
Sieh dich nach alten Cisco 2950ern oder 3550ern um bei eBay, da hast du das rundum sorglos Programm und kannst deine Lösung dann entweder mit gerouteten und gesicherten Layer 3 Netzwerken pro Kunde lösen oder eben mit den sog. private VLANs.
Auch eine Lösung mit einem simplen einfachen Layer 2 Switch und einer Router/Firewall wie hier im Tutorial beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
ist problemlos und preiswert möglich mit einem billigen Web Smart Switch.
Alle Optionen führen zum Erfolg ! Such dir die schönste und für dich passenste aus !
Von den HPs kann man dir nur dringend abraten. Die supporten weder private VLANs noch einigermaßen gescheite Accesslisten
auf IP Basis.
ah ja und woher weißt du das die keine VLANs supporten?auf IP Basis.
hast du dir den 1810-24 mal angesehen?
Auch eine Lösung mit einem simplen einfachen Layer 2 Switch und einer Router/Firewall wie hier im Tutorial beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
ist problemlos und preiswert möglich mit einem billigen Web Smart Switch.
ja genau ist problemlos möglich daher war auch mein rat an den HP ProCurve 1810 der oh wunder ein"Web Smart Switch ist"!VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
ist problemlos und preiswert möglich mit einem billigen Web Smart Switch.
gruß
aber um beim Thema zu bleiben gibt viele Möglichkeiten du musst nur eine nehmen und diese richtig machen!
Allerdings solltest du immer ein besonderes Augenmerk auf die Sicherheit legen.
@funnysandman
Bitte lese dir den Thread einmal richtig durch ! Es geht NICHT um VLANs allgemein sondern um die Funktion private VLANs
http://en.wikipedia.org/wiki/Private_VLAN
Also eine geblockte Broadcast Domain in einem VLAN. Das kann Billigheimer HP nicht...jedenfalls nicht auf den Procurve Gurken....und erst recht nicht auf dem 1810.
Fazit: Erst lesen, dann verstehen, dann motzen....
Bitte lese dir den Thread einmal richtig durch ! Es geht NICHT um VLANs allgemein sondern um die Funktion private VLANs
http://en.wikipedia.org/wiki/Private_VLAN
Also eine geblockte Broadcast Domain in einem VLAN. Das kann Billigheimer HP nicht...jedenfalls nicht auf den Procurve Gurken....und erst recht nicht auf dem 1810.
Fazit: Erst lesen, dann verstehen, dann motzen....
Das kann Billigheimer HP nicht...jedenfalls nicht auf den Procurve Gurken....
Port Isolation kann HP auch, zumindest auf den richtigen Switchen.
Die komischen 17xx/18xxer sind trotzdem niemals zu empfehlen und machen den Eindruck, als wären es nur umgelabelte Netgears (mit einem Access Point hat HP das ja schon mal gemacht)
Zitat von @aqui:
@funnysandman
Bitte lese dir den Thread einmal richtig durch ! Es geht NICHT um VLANs allgemein sondern um die Funktion private VLANs
http://en.wikipedia.org/wiki/Private_VLAN
Also eine geblockte Broadcast Domain in einem VLAN. Das kann Billigheimer HP nicht...jedenfalls nicht auf den Procurve Gurken....
@funnysandman
Bitte lese dir den Thread einmal richtig durch ! Es geht NICHT um VLANs allgemein sondern um die Funktion private VLANs
http://en.wikipedia.org/wiki/Private_VLAN
Also eine geblockte Broadcast Domain in einem VLAN. Das kann Billigheimer HP nicht...jedenfalls nicht auf den Procurve Gurken....
also erstens dein Link auf Wikipedia beschreibt einfach VLANs ob Privat oder nicht. Das was da beschrieben wird ist die Beschreibung der VLANs. Aber egal.
Ich wollte hier keine Krieg entfachen nur meine Meinung dazu sagen. Da ich diese Switche nun erst vor kurzem Installiert habe und die Konfiguration gut von der Handy ging und das mit der Webconfig.
Von der Stabilität her finde ich die Dinger auch super.
Allerdings muss man natürlich auch die Preisklasse einfach sehen ich meine so ein Switch kostet um die 200€ und für diese Kategorie sind die echt super und VLAN können sie auch und vorallem Portbasiertes VLAN.
@dog
Wieso bist du der Meinung? Schlechte Erfahrung gemacht?
Gruß
also erstens dein Link auf Wikipedia beschreibt einfach VLANs ob Privat oder nicht. Das was da beschrieben wird ist die Beschreibung der VLANs. Aber egal.
Du hast den Artikel nicht gelesen, oder?
Zumindest hast du ihn nicht verstanden.
Private VLANs oder Port Isolation beschreibt eine Technik, bei dem die einzelnen Ports in einem VLAN nicht untereinander, sondern nur mit einem ganz bestimmten Port kommunizieren dürfen - das ist ein ganz klarer Unterschied zu regulären VLANs (und geht zum Teil ganz Ohne).
Wieso bist du der Meinung? Schlechte Erfahrung gemacht?
Ich habe mittlerweile richtige HP-Switche und dann nerven einen die komischen Teile nur noch.
Allein die VLAN-Konfiguration in dem Klickbunti ist 3x so kompliziert wie auf der Konsole von einem normalen HP Switch.
Das die Konfiguration mit der Konsole leichter ist als übers Webinterface bestreite ich nicht. Aber es soll leute geben die solch etwas sogar wollen.
Ja ich habe es schon gelesen aber ich habe es falsch verstanden. Mein Fehler.
Aber wo liegt denn nun solch ein Sinn?? ich meine dafür wurden doch die VLANs gemacht damit alle Ports die im gleichen VLAN sind miteinander reden können und alle anderen nicht.
Ich meine er kann ja auch einfach für jeden Mieter ein VLAN kreieren oder nicht?
Ja ich habe es schon gelesen aber ich habe es falsch verstanden. Mein Fehler.
Aber wo liegt denn nun solch ein Sinn?? ich meine dafür wurden doch die VLANs gemacht damit alle Ports die im gleichen VLAN sind miteinander reden können und alle anderen nicht.
Ich meine er kann ja auch einfach für jeden Mieter ein VLAN kreieren oder nicht?
@funnysandman
Nur mal 2 dumme Beispiele damit du es auch verstehst:
Du bist in einem Hotel und hast alle Gästezimmer in einem VLAN. In dieser Situation kann jeder Gast mit jedem kommunizieren und jeder Gast kann auf dem Rechner aller anderen Gäste rumschnüffeln. Will man das...? Rechtlich gilt das Hotel dann als "Mitverursacher" bei der Datenmanipulation.
Provider mit Kabelnetzwerk. In der letzten Meile hängen alle Teilnehmer an einem Segment (VLAN). Macht dort mal spaßeshalber einer seine Winblows Netzwerkumgebung auf sieht er alle seine Nachbarn dort. Gleiches Schnüffelszenario und jeder kann mit jedem wie im Hotel.
Auch das ist nicht gewollt.
Folglich richtet man Private VLANs oder Isolatet VLANs ein die verhindern das nämlich indem sie keinen Broad- und Multicasts an die VLAN Member Ports fluten sondern nur an dedizierte Uplink Ports. In diesem Falle ist es also ziemlich kontraproduktiv wenn alle Ports mit allen reden können, denn genau DAS will man ja nicht und unterbindet es durch den Broadcast Filter ! Daran scheitert allein schon ein ARP und damit jeglicher Verbindungsaufbau im OSI Layer 2.
Es gibt zig weitere solcher Beispiele wie auch das von oben für Private oder Isolated VLANs. Vermutlich reichte dein technischer Horizont nicht bis dahin das zu verstehen...dann sollte man aber wenigstens lesen und warten bis das aha Erlebnis kommt wenn das schon in einer Extra Einladung stand.
Die Billigheimer Procurve Serie kann das eben nicht...wie so viele Features die HP nicht kann. Aber billig können sie wenigstens....das ist unbestreitbar.
So, und nun ist Kollege lanazy wieder dran in der Hoffnung das ihn diese Tipps weiterbringen.. ??!!
Nur mal 2 dumme Beispiele damit du es auch verstehst:
Du bist in einem Hotel und hast alle Gästezimmer in einem VLAN. In dieser Situation kann jeder Gast mit jedem kommunizieren und jeder Gast kann auf dem Rechner aller anderen Gäste rumschnüffeln. Will man das...? Rechtlich gilt das Hotel dann als "Mitverursacher" bei der Datenmanipulation.
Provider mit Kabelnetzwerk. In der letzten Meile hängen alle Teilnehmer an einem Segment (VLAN). Macht dort mal spaßeshalber einer seine Winblows Netzwerkumgebung auf sieht er alle seine Nachbarn dort. Gleiches Schnüffelszenario und jeder kann mit jedem wie im Hotel.
Auch das ist nicht gewollt.
Folglich richtet man Private VLANs oder Isolatet VLANs ein die verhindern das nämlich indem sie keinen Broad- und Multicasts an die VLAN Member Ports fluten sondern nur an dedizierte Uplink Ports. In diesem Falle ist es also ziemlich kontraproduktiv wenn alle Ports mit allen reden können, denn genau DAS will man ja nicht und unterbindet es durch den Broadcast Filter ! Daran scheitert allein schon ein ARP und damit jeglicher Verbindungsaufbau im OSI Layer 2.
Es gibt zig weitere solcher Beispiele wie auch das von oben für Private oder Isolated VLANs. Vermutlich reichte dein technischer Horizont nicht bis dahin das zu verstehen...dann sollte man aber wenigstens lesen und warten bis das aha Erlebnis kommt wenn das schon in einer Extra Einladung stand.
Die Billigheimer Procurve Serie kann das eben nicht...wie so viele Features die HP nicht kann. Aber billig können sie wenigstens....das ist unbestreitbar.
So, und nun ist Kollege lanazy wieder dran in der Hoffnung das ihn diese Tipps weiterbringen.. ??!!
Ich habe auch einen von den 300ern hier.
Das ist zwar eigentlich ein Linksys-Switch, aber hat ein wirklich brauchbares Webinterface und die Konsole ist sehr stark an Cisco angelehnt.
Der Switch hat auch einen recht großen Feature-Umfang für den Preis.
Da er Routing und ein paar ACLs kann müsste es damit gehen, wobei ich es eher so machen würde:
Jeder Mieter muss sich einen eigenen Router besorgen.
Die Router werden alle an einen Switch (beliebig dumm) angesteckt und an dem hängt ein Router/Firewall fürs Internet und zum Netz mit den gemeinsamen Geräten.
Das ist zwar eigentlich ein Linksys-Switch, aber hat ein wirklich brauchbares Webinterface und die Konsole ist sehr stark an Cisco angelehnt.
Der Switch hat auch einen recht großen Feature-Umfang für den Preis.
Da er Routing und ein paar ACLs kann müsste es damit gehen, wobei ich es eher so machen würde:
Jeder Mieter muss sich einen eigenen Router besorgen.
Die Router werden alle an einen Switch (beliebig dumm) angesteckt und an dem hängt ein Router/Firewall fürs Internet und zum Netz mit den gemeinsamen Geräten.
Hi !
Absolut richtig und bei den Älteren kann man das per Firmware-Update nachrüsten...
Die können sowieso kein Private VLAN und sind in der Tat.......Weitere Worte sparen ich mir...
mrtux
Absolut richtig und bei den Älteren kann man das per Firmware-Update nachrüsten...
Die komischen 17xx/18xxer sind trotzdem niemals zu empfehlen und machen den Eindruck, als wären es nur umgelabelte Netgears
(mit einem Access Point hat HP das ja schon mal gemacht)
(mit einem Access Point hat HP das ja schon mal gemacht)
Die können sowieso kein Private VLAN und sind in der Tat.......Weitere Worte sparen ich mir...
mrtux
Jeder simple, popelige Layer 2 Switch der VLANs kann und damit managebar ist kann das in Verbindung mit einer 802.1q (VLAN) fähigen Firewall/Router.
Wie das dann geht findest du hier haarklein beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Damit ist das einfach und im Handumdrehen für kleines Geld sauber umzusetzen.
Wenn du es nur mit einem Switch machen willst MUSST du einen Layer 3 (Routing) fähigen Switch haben der auch detailierte Accesslisten für die Zugangskontrolle supportet.
So einfach und simpel ist das....!
Wie das dann geht findest du hier haarklein beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Damit ist das einfach und im Handumdrehen für kleines Geld sauber umzusetzen.
Wenn du es nur mit einem Switch machen willst MUSST du einen Layer 3 (Routing) fähigen Switch haben der auch detailierte Accesslisten für die Zugangskontrolle supportet.
So einfach und simpel ist das....!