Konkurierende Inter VLAN Routing-Methoden gleichzeitig nutzen

Hallo zusammen,

der Titel ist sicherlich etwas sperrig, ich möchte aber präzise sein. Folgende Ausgangslage:

Ich nutze "Router on a stick" ( https://en.wikipedia.org/wiki/Router_on_a_stick ), auch wenn ich bis vor 1h den Begriff selbst nicht kannte. Kurz: Meine Sophos SG routet zwischen mehreren Subnetzen. Jedes Subnetz ist per physischem Link verbunden bzw. kleinere Subnetze über einen shared Link. Wir haben zwar zwei Layer-3 Switche als Core Switches aber die routen keinen Traffic zwischen VLANs. Die Sophos hat zudem natürlich noch Firewall-Regeln.

Es soll jetzt eine NAS in das Netz eingebunden werden. Bisher sehe ich ein eigenes, kleines Storage-Netz vor auf das aus drei anderen Netzen bandbreitenintensive Verbindungen aufgebaut werden die ich gerne vom Router fern halten möchte. Ich möchte nicht meine ganze Netzstruktur umbauen, also komplett weg vom Modell "Router on a stick".

Ich habe mir angeguckt was ich mit dem Layer-3 Switch machen könnte. Ich konnte aber leider keine Aussagen zu sowas wie einem Hybrid-Modell finden in dem ich das bisherige Routing so belasse und nur Verbindungen zur NAS direkt im Layer-3 Switch regele. Nach meinem Verständnis wäre das umsetzbar: Ich richte auf den Layer-3 Switches Interfaces ein und pushe über DHCP statische Routen an die Clients damit die Sophos für alles andere Gateway bleiben kann. Natürlich fallen mir auch Nachteile ein, ich weiß z.B. nicht ob ich die Route wirklich über DHCP auf alle relevanten Clients bekomme. Auch kann mein Layer-3 Switch (Aruba 5400R) keine Firewall-Regeln umsetzen und irgendwie ist das doch ein wichtiger Punkt bei einer Segmentierung.

Wo ist mein Denkfehler? Oder würdet ihr der NAS einfach 3 Interfaces verpassen und die in alle Netze hängen?

Content-Key: 1256027385

Url: https://administrator.de/contentid/1256027385

Ausgedruckt am: 25.09.2021 um 16:09 Uhr

Mitglied: aqui
Lösung aqui 13.09.2021 aktualisiert um 16:53:23 Uhr
Goto Top
auch wenn ich bis vor 1h den Begriff selbst nicht kannte.
Ist eher traurig, denn das ist seit Jahrzehnten ein etablierter Begriff in der Netzwerkwelt. Jeder Netzwerker weiss (oder sollte wissen) was "one armed" oder "on the stick" bedeutet. ;-) face-wink

Sowas wie "Hybrid" gibt es auch nicht, vergiss das. Mit einem L3 Switch ist es eigentlich ganz einfach:
  • Wenn man gar nicht routen will vergibt man schlicht und einfach keine IP Adressen im VLAN. Kein IP, kein Routing. So dürfe es jetzt ja bei dir im Setup eingestellt sein ?!
IP Adressen liefert dort in den VLANs ja deine Sophos die das gesamte L3 Geschäft macht.
Wenn du nun bestimmte VLANs über den Switch routen willst machst du es analog:
Du trägst einfach die IPs und auch VLAN Subnetze aus aus dem Setup der Firewall und legst diese IPs auf den L3 Switch. Et voila...schon routet der Switch. Das Routing erledigt immer das Gerät wo die Gateway IP der Endgeräte hinzeigt...ganz einfach.
In klassischen Cores ist sowas üblich. Cores sind ja immer redundant und jeder Core Switch ein Router. Diese parallelen Router koppelt man dann über VRRP, HSRP für die Endgeräte zu einem virtuellen Router mit gegenseitigem Backup der IP. HIER kannst du dir mal im Kleinen ansehen wie sowas geht. Heute werden solche Redundaz Techniken mehr und mehr mit Stacking ersetzt die VRRP überflüssig machen.

Tricky wird es wenn du das parallel betreiben willst. Also das Firewall UND Switch IP Adressen in den beteiligten VLANs halten. Da gilt dann erstmal wieder das was oben steht. Das Gateway entscheidet wer routet.
Allerdings lauert der Teufel im Detail...
Beispiel mit deinem NAS: Dem NAS trägst du als Gateway die IP des Switches ein. Ein Client in einem anderen Netz der darauf zugreift behält aber z.B. die Firewall.
Das führt dann zu einem asymetrischen Routing. Hin gehts über die Firewall, zurück aber über den Switch. Das wird zwar klappen, kann aber böse Side Effects triggern und ist kein sauberes IP Design. Generell sollte man sowas wenn irgend möglich immer verhindern. Allein bei dir schon weil du so die Firewall aushebelst bzw. wenn sie eine SPI Firewall ist den Rücktraffic nicht "sieht" und damit keinerlei Informationen mehr über den Session Status z.B. bei TCP hat. Eben eins dieser bösen Side Effects.
Da gilt es also genau hinzusehen und sich zu entscheiden wer soll welche VLANs routen.
Auch kann mein Layer-3 Switch (Aruba 5400R) keine Firewall-Regeln umsetzen
Das ist natürlich nicht ganz richtig ! Der Switch kann zwar keine SPI Regeln umsetzen er supportet aber immer IP Accesslisten. Das kann sogar Billigheimer HP. Ist zwar nicht SPI aber immerhin lässt sich jeglicher IP Traffic damit bis in den Layer 4 auch entsprechend steuern.

Best Practise und üblicher Standard ist in Campus L3 Cores immer den Switch routen zu lassen allein schon wegen der besseren L3 Performance segmentierter Infrastrukturen auf zentrale Endgeräte wie Server, NAS usw.. Traffic kontrolliert man dort dann auch grob mit ACLs.
Alle sicherheitsrelevanten VLANs wie Gastnetze oder solche mit besonderen Sicherheits Anforderungen (externe Firmen, Maschinennetze usw.) nimmt man immer vom Core Switch Routing aus. (Keine IP Adressen auf dem L3 Switch !) und terminiert diese VLANs dann im L2 immer direkt auf der Firewall so das diese Segmente ausschliesslich nur über die Firewall geroutet werden. Sei es per 802.1q Trunks in Link Aggregation oder wie bei dir mit Einzelstrippen. (Ersteres wäre netztechnisch eleganter)
Vermutlich meintest du das mit "Hybrid Modell" ??!
Mitglied: ukulele-7
ukulele-7 14.09.2021 um 10:20:03 Uhr
Goto Top
Zitat von @aqui:

  • Wenn man gar nicht routen will vergibt man schlicht und einfach keine IP Adressen im VLAN. Kein IP, kein Routing. So dürfe es jetzt ja bei dir im Setup eingestellt sein ?!
IP Adressen liefert dort in den VLANs ja deine Sophos die das gesamte L3 Geschäft macht.
korrekt
Wenn du nun bestimmte VLANs über den Switch routen willst machst du es analog:
Du trägst einfach die IPs und auch VLAN Subnetze aus aus dem Setup der Firewall und legst diese IPs auf den L3 Switch. Et voila...schon routet der Switch. Das Routing erledigt immer das Gerät wo die Gateway IP der Endgeräte hinzeigt...ganz einfach.
Das meinte ich mit "Hybrid"-Lösung.
Tricky wird es wenn du das parallel betreiben willst. Also das Firewall UND Switch IP Adressen in den beteiligten VLANs halten. Da gilt dann erstmal wieder das was oben steht. Das Gateway entscheidet wer routet.
Allerdings lauert der Teufel im Detail...
Beispiel mit deinem NAS: Dem NAS trägst du als Gateway die IP des Switches ein. Ein Client in einem anderen Netz der darauf zugreift behält aber z.B. die Firewall.
Das führt dann zu einem asymetrischen Routing. Hin gehts über die Firewall, zurück aber über den Switch. Das wird zwar klappen, kann aber böse Side Effects triggern und ist kein sauberes IP Design.
Da gebe ich dir Recht, das ist unsauber. Mir schwebte folgendes konkret vor:
NAS = eigenes Subnetz "NAS-Netz", Gateway = Switch
andere Netze die auf die NAS Zugreifen, z.B. "Server-Netz", Gateway = Router aber mit einer Route zum NAS-Netz die auf den Switch zeigt. Damit es sauber ist sollten alle Geräte im Server-Netz auch die Route kennen.
In dem Fall sollte ja sämtliche Kommunikation mit der NAS direkt vom Switch geroutet werden, ohne das ich den Router als Gateway komplett ablöse.
Auch kann mein Layer-3 Switch (Aruba 5400R) keine Firewall-Regeln umsetzen
Das ist natürlich nicht ganz richtig ! Der Switch kann zwar keine SPI Regeln umsetzen er supportet aber immer IP Accesslisten. Das kann sogar Billigheimer HP. Ist zwar nicht SPI aber immerhin lässt sich jeglicher IP Traffic damit bis in den Layer 4 auch entsprechend steuern.
Das muss ich mir unbedingt morgen nochmal ansehen. Ich bin etwas hin und her gerissen: Ich möchte eine klare Linie fahren und bin mit dem Router on a stick-Prinzip zufrieden. Obwohl ich ca. 20 VLANs habe hält sich der Traffic zwischen den Netzen doch sehr in grenzen. Das meiste ist Traffic innerhalb der Netze oder von dort ins Internet. Jetzt kommt eben dieser spezielle Use-Case mit der NAS dazu.

NAS spricht ja schon mal für Traffic, wobei das meiste davon vom Backup Server kommen wird. Die NAS bekommt eine 2te NIC die ich eventuell ins iSCSI Netz hänge (dann würden die Backups darüber laufen) oder zumindest dediziert in das Netz des Backup-Servers. Dann würde der Traffic sowieso vorbei am Router laufen (der Backup-Server darf das ja auch) und dieser Fall wäre erledigt.

Aber irgendwann wird Router on a stick natürlich zum Flaschenhals, dann wäre ein Routing über die Core Switches sinnvoller.
Mitglied: aqui
Lösung aqui 14.09.2021 aktualisiert um 13:29:25 Uhr
Goto Top
andere Netze die auf die NAS Zugreifen, z.B. "Server-Netz", Gateway = Router aber mit einer Route zum NAS-Netz die auf den Switch zeigt.
D.h. du gibst diesen Endgeräten im Betriebssystem händisch zusätzlich noch eine permanente statische Route ins NAS Netz mit der Switch IP als Gateway ? Das wäre etwas Aufwand würde aber klappen und ist absolut OK.
Mitglied: NordicMike
Lösung NordicMike 14.09.2021 um 12:25:37 Uhr
Goto Top
Das wäre etwas Aufwand würde aber klappen und ist absolut OK.
Manche Geräte akzeptieren keinen Push über DHCP Optionen - z.B. Hyndys. Gut, diese müssen nicht wirklich auf ein NAS zugreifen.
Mitglied: ukulele-7
ukulele-7 14.09.2021 um 12:33:35 Uhr
Goto Top
Zitat von @aqui:

andere Netze die auf die NAS Zugreifen, z.B. "Server-Netz", Gateway = Router aber mit einer Route zum NAS-Netz die auf den Switch zeigt.
D.h. du gibst diesen Endgeräten im Betriebssystem zusätzlich noch eine permanente statische Route ins NAS Netz mit der Switch IP als Gateway ? Das wäre etwas Aufwand würde aber klappen und ist absolut OK.

Könnte ich mir so vorstellen um erstmal möglichst wenig anzufassen. Bin aber davon ab denn ich glaube selbst wenn ich die Sophos überreden kann die Route per DHCP zu verteilen dann werden Clients wie z.B. die Audio-Anlage der Cafeteria damit nicht klar kommen. Ich lass das erstmal alles von der Sophos routen wie bisher auch, das Backup kommt über eine eigene NIC. Wenn das läuft teste ich mal das Routing über den Switch.
Heiß diskutierte Beiträge
general
DSL-Modems am F-Buchse statt N-Buchse - warum?Windows10GegnerVor 22 StundenAllgemeinDSL, VDSL19 Kommentare

Hallo zusammen, es sind jetzt hier die Fernmeldetechniker gefragt. Normalerweise wird ja ein DSL-Modem mit der F-Buchse einer TAE-NFN-Dose verbunden. Was ist der genau Grund ...

general
Autodesk im Jahre 2021-2022dertowaVor 1 TagAllgemeinOff Topic4 Kommentare

Hallo zusammen, mal eine kleine Anekdote, u.a. da heute Freitag ist. Vor einigen Jahren hatte ich mit Autodesk AutoCAD LT zu tun, in der damaligen ...

general
Außergewöhnliche hohe Spamaktivitäten und Angriffe per E-Mail gelöst beidermachtvongreyscullVor 1 TagAllgemeinE-Mail5 Kommentare

Tach Kollegen, liegt das an den bevorstehenden Wahlen? Ich beobachte seit Tagen auf unserer Firewall, dass wir massiven Spamwellen ausgesetzt sind. Bisher kommt zum Glück ...

question
Einrichtung Unify Security Gateway gelöst markaurelVor 17 StundenFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen und bitte um eure Hilfe! Wie der Titel schon sagt Folgende Situation: Ich hab ein Netzwerk in folgenden IP-Bereich: 192.168.10.x. Als Gateway dient ...

question
Backup-Server, welcher sich selber sichertludakuVor 1 TagFrageBackup6 Kommentare

Moin Zusammen Stellen wir uns kurz folgendes Konstrukt vor: 1x Hypervisor mit 3 VMs: - DC & Fileserver - Webserver - Acronis Backup-Server Ist es ...

question
Sysprep nachträglich virtualisierenalf008Vor 1 TagFrageVmware6 Kommentare

Hallo, ich habe diverse physikalische Server virtualisiert und später sollten diese in eine neue Domäne aufgenommen werden. Leider habe ich beim Virtualisieren erst später (zu ...

question
Wlanprobleme nach Providerwechsel gelöst amsti70Vor 1 TagFrageRouter & Routing8 Kommentare

Hallo alle zusammen! Ich bin neu auf dieser Seite und komme gleich mit einem Problem. Habe jetzt von A1 auf Drei Festnetz gewechselt. Mein System ...

question
Microsoft 365 und Authenticator gelöst pc-schubserVor 1 TagFrageMicrosoft Office10 Kommentare

Hallo zusammen, für einen kleinen Firmenkunden, den ich auch als Admin betreue, habe ich vor einiger Zeit Microsoft 365 Business Standard CSP Lizenzen verkauft. Jetzt ...