20
L3 Switch richtig konfigurieren
Hi
Ich habe eine 3com 5500-ei-g 3 layer switch und würde gerne folgendes konfigurieren
Bsp:
Port 1: VLAN 10 — IP-Range: 192.168.1.x
Port 2: VLAN 20 — IP-Range: 192.168.2.x
Port 3: VLAN 30 — IP-Range: 192.168.3.x
Nun soll jedes VLAN einerseits ins WAN (Internet) kommen, jedoch soll nicht jedes VLAN miteinander kommunizieren.
zB Zugriff von VLAN 10 auf VLAN 30 und umgekehrt soll möglich sein, allerdings soll der Zugriff zB von VLAN 20 auf VLAN 10 und VLA 30 nicht möglich sein.
Nun habe ich auf dem Switch 48 ports. Die ports 1-9 gehören VLAN 10 und 11 - 19 zu VLAN 20 etc. . Nun habe ich eine Frage an welchen Port muss ich den WAN Kabel der von der FB kommt stecken bzw. wie müsste der Port konfiguriert sein damit alle bzw zwei VLANs ins Internet können ?
PS. die FB soll als Gateway dienen, sollte ohne ein weitere Gerät außer die beiden funktionieren aber halt die ein Port zu Uplink wandeln
Ich habe eine 3com 5500-ei-g 3 layer switch und würde gerne folgendes konfigurieren
Bsp:
Port 1: VLAN 10 — IP-Range: 192.168.1.x
Port 2: VLAN 20 — IP-Range: 192.168.2.x
Port 3: VLAN 30 — IP-Range: 192.168.3.x
Nun soll jedes VLAN einerseits ins WAN (Internet) kommen, jedoch soll nicht jedes VLAN miteinander kommunizieren.
zB Zugriff von VLAN 10 auf VLAN 30 und umgekehrt soll möglich sein, allerdings soll der Zugriff zB von VLAN 20 auf VLAN 10 und VLA 30 nicht möglich sein.
Nun habe ich auf dem Switch 48 ports. Die ports 1-9 gehören VLAN 10 und 11 - 19 zu VLAN 20 etc. . Nun habe ich eine Frage an welchen Port muss ich den WAN Kabel der von der FB kommt stecken bzw. wie müsste der Port konfiguriert sein damit alle bzw zwei VLANs ins Internet können ?
PS. die FB soll als Gateway dienen, sollte ohne ein weitere Gerät außer die beiden funktionieren aber halt die ein Port zu Uplink wandeln
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 295652
Url: https://administrator.de/contentid/295652
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
20 Kommentare
Neuester Kommentar
Deine Überschrift ist ohne Groß- Kleinschrift und auch recht wirr aber deuten wir das mal so das du einen L3 Switch hast und den zu konfigurieren versuchst, richtig ?
Die To Do Schritte für das was du vorhast sind eigentlich kinderleicht und immer dieselben:
Tip: Damit du die Fritzbox nicht in eines deiner Produktiv VLAN packen musst ist es sehr sinnvoll dem Internet, sprich dem VLAN mit dem der Switch mit der FB spricht ein eigenständiges VLAN zu geben.
So hälst du den Internet Traffic von deinen VLANs fern und hast gleichzeitig noch eine zusätzliche FilterOption
Beispiel VLAN 90 = IP Range 192.168.178.x /24
Auf dem Switch weist du dann einen untagged Port dem VLAN 90 zu z.B. Port 48 und steckst dort die Fritzbox drauf mit ihrem LAN Port.
FB IP Adresse = 192.168.178.1
Switch IP Adresse in VLAN 90 = 192.168..178.254
IP Adressen der VLAN Interfaces auf dem Switch:
VLAN 10 = 192.168.1.254
VLAN 20 = 192.168.2.254
VLAN 30 = 192.168.3.254
Dann die Default Route auf dem Switch zur Fritzbox einrichten:
ip route 0.0.0.0 /0 192.168.178.1
Dann richtest du noch entsprechende statische Routen auf der Fritzbox für die lokalen VLANs ein, das die FB diese IP netze an den Switch routet.
Statt 3 einzelner Router pro VLAN kannst du das mit einer CIDR Route machen:
ip route 192.168.0.0 255.255.252.0 192.168.178.254
Das routet dir dann alle IP Adressen von 192.168.0.1 bis 192.168.3.254 auf deinen L3 Switch.
Tadaaa... Das wars !
Ein Ping von einem PC in VLAN 30 der auf einem untagged Port des Switches gesteckt ist im VLAN 30 mit folgender IP Adressierung:
PC IP: 192.168.3.100
Maske: 255.255.255.0
Gateway: 192.168.3.254 (Switch IP in dem VLAN 30)
Sollte dann:
Erst dann solltest bzw. musst du dich an die IP Accesslisten machen die den Zugriff von VLAN 20 auf 10 und 30 verbieten.
Syntaktisch sähe das so aus:
Accessliste KeinVLAN10u30
deny IP 192.168.2.0 0.0.0.255 nach 192.168.1.0 0.0.0.255 => Verbietet alles mit Absender IP VLAN 20 nach VLAN 10
deny IP 192.168.2.0 0.0.0.255 nach 192.168.3.0 0.0.0.255 => Verbietet alles mit Absender IP VLAN 20 nach VLAN 30
permit IP 192.168.2.0 0.0.0.255 nach any = Erlaubt VLAN 20 ins Internet
Diese Accessliste KeinVLAN10u30 aktivierst du dann am VLAN 20 IP Interface des Switches..
Fertig ist der Lack ! Ist in 10 Minuten erledigt.
Die To Do Schritte für das was du vorhast sind eigentlich kinderleicht und immer dieselben:
- VLANs anlegen und Endgeräte Ports untagged zuweisen (hast du vermutlich schon gemacht ?!)
- IP Accesslisten anlegen um den Zugriff bestimmter VLANs (hier 20) untereinander zu blockieren
- Statische Default Route einrichten auf die FritzBox.
- Statische Routen zu den VLANs auf der FB einrichten.
- Fertisch !
Tip: Damit du die Fritzbox nicht in eines deiner Produktiv VLAN packen musst ist es sehr sinnvoll dem Internet, sprich dem VLAN mit dem der Switch mit der FB spricht ein eigenständiges VLAN zu geben.
So hälst du den Internet Traffic von deinen VLANs fern und hast gleichzeitig noch eine zusätzliche FilterOption
Beispiel VLAN 90 = IP Range 192.168.178.x /24
Auf dem Switch weist du dann einen untagged Port dem VLAN 90 zu z.B. Port 48 und steckst dort die Fritzbox drauf mit ihrem LAN Port.
FB IP Adresse = 192.168.178.1
Switch IP Adresse in VLAN 90 = 192.168..178.254
IP Adressen der VLAN Interfaces auf dem Switch:
VLAN 10 = 192.168.1.254
VLAN 20 = 192.168.2.254
VLAN 30 = 192.168.3.254
Dann die Default Route auf dem Switch zur Fritzbox einrichten:
ip route 0.0.0.0 /0 192.168.178.1
Dann richtest du noch entsprechende statische Routen auf der Fritzbox für die lokalen VLANs ein, das die FB diese IP netze an den Switch routet.
Statt 3 einzelner Router pro VLAN kannst du das mit einer CIDR Route machen:
ip route 192.168.0.0 255.255.252.0 192.168.178.254
Das routet dir dann alle IP Adressen von 192.168.0.1 bis 192.168.3.254 auf deinen L3 Switch.
Tadaaa... Das wars !
Ein Ping von einem PC in VLAN 30 der auf einem untagged Port des Switches gesteckt ist im VLAN 30 mit folgender IP Adressierung:
PC IP: 192.168.3.100
Maske: 255.255.255.0
Gateway: 192.168.3.254 (Switch IP in dem VLAN 30)
Sollte dann:
- Andere PCs im VLAN 30 pingen können
- Das Swicth Interface im VLAN 30 192.168.3.254 pingen können.
- Die IP der Fritzbox pingen können.
Erst dann solltest bzw. musst du dich an die IP Accesslisten machen die den Zugriff von VLAN 20 auf 10 und 30 verbieten.
Syntaktisch sähe das so aus:
Accessliste KeinVLAN10u30
deny IP 192.168.2.0 0.0.0.255 nach 192.168.1.0 0.0.0.255 => Verbietet alles mit Absender IP VLAN 20 nach VLAN 10
deny IP 192.168.2.0 0.0.0.255 nach 192.168.3.0 0.0.0.255 => Verbietet alles mit Absender IP VLAN 20 nach VLAN 30
permit IP 192.168.2.0 0.0.0.255 nach any = Erlaubt VLAN 20 ins Internet
Diese Accessliste KeinVLAN10u30 aktivierst du dann am VLAN 20 IP Interface des Switches..
Fertig ist der Lack ! Ist in 10 Minuten erledigt.
dank erst mal im Voraus, probiere ich morgen früh aus und gebe Bescheid 
Also bekommt die FB ein eigene VLAN, wenn ich mich nicht gerade verlesen haben!? also bei deinem Beispiel VLAN90 dann wars wirklich einfach
Eine Frage habe ich noch, wenn ich einem VLAN interface eine IP gebe wie funktioniert das mit den Clients, die an dem VLAN hängen. Wie und welche IPs bekommen die Clients. Wie läuft das Intern ab. Bin die ganze Zeit an Manuals lesen und je mehr man liest desto durcheinander kommt man da jeder Anbieter etwas anderes schreibt bzw versucht das anders darzustellen.
Hallo,
Diese VLAN Interfaces sind virtuelle Ports und stellen in den jeweiligen VLANs/ IP-Bereichen das Standard-Gateway dar. D.h., die Clients in den jeweiligen VLANs müssen diese IP als Standard-Gateway zugewiesen bekommen.
Stell Dir jedes VLAN als eigenständigen L2-Switch vor. Jeder dieser Switche "hängt" mit einem Port an einem Router. Die obigen IP-Adressen sind den einzelnen Ports dieses Routers zugewiesen und stellen das Standard-Gateway des jeweiligen Subnetzes dar.
Jürgen
Switch IP Adresse in VLAN 90 = 192.168..178.254
IP Adressen der VLAN Interfaces auf dem Switch:
VLAN 10 = 192.168.1.254
VLAN 20 = 192.168.2.254
VLAN 30 = 192.168.3.254
IP Adressen der VLAN Interfaces auf dem Switch:
VLAN 10 = 192.168.1.254
VLAN 20 = 192.168.2.254
VLAN 30 = 192.168.3.254
Diese VLAN Interfaces sind virtuelle Ports und stellen in den jeweiligen VLANs/ IP-Bereichen das Standard-Gateway dar. D.h., die Clients in den jeweiligen VLANs müssen diese IP als Standard-Gateway zugewiesen bekommen.
Stell Dir jedes VLAN als eigenständigen L2-Switch vor. Jeder dieser Switche "hängt" mit einem Port an einem Router. Die obigen IP-Adressen sind den einzelnen Ports dieses Routers zugewiesen und stellen das Standard-Gateway des jeweiligen Subnetzes dar.
Jürgen
@chiefteddy
danke super erklärt kurz und verständlich besser als was ich fand
ok Nun ein weiteres Problem würde gerne noch ein Webserver, der soll Webseiten nach außenhin zeigen, in diesem Netzwerk mit einbringen. Hier kommt wohl das Stichwort DMZ zum Einsatz. Würde das mit dem Switch noch funktionieren oder sollte ich da noch ein Switch/Firewall in das Netzwerk hinzufügen
danke super erklärt kurz und verständlich besser als was ich fand
ok Nun ein weiteres Problem würde gerne noch ein Webserver, der soll Webseiten nach außenhin zeigen, in diesem Netzwerk mit einbringen. Hier kommt wohl das Stichwort DMZ zum Einsatz. Würde das mit dem Switch noch funktionieren oder sollte ich da noch ein Switch/Firewall in das Netzwerk hinzufügen
Hallo,
die Trennung des Datenverkehrs in LAN und DMZ wird in der Regel in einer Firewall vorgenommen, da man dort bessere und umfangreichere Konfigurationsmöglichkeiten hat. Dazu besitzt die Firewal normalerweise neben dem WAN- und dem LAN-Port noch einen 3. Port, der als DMZ mit eigenem IP-Bereich konfiguriert wird.
Natürlich kann man nun auf dem nachfolgenden Switch ein eigenes DMZ-VLAN definieren (alle Ports untagged) und einen Port mit dem DMZ-Port der Firewall verbinden. Der Webserver "hängt" dann am VLAN-Switch im DMZ-VLAN.
Für mehr Sicherheit würde ich aber die DMZ über einen eigenen physischen L2-Switch (5-8 Ports, unmanaged) realisieren. Das hat den Vorteil, dass die DMZ-Daten nicht über Komponenten des LAN geführt werden und somit nicht in das LAN "eindringen" können (Wenn der VLAN-Switch fehlerhaft arbeitet und die VLANs nicht sauber trennt).
Das ist aber eine Frage von Aufwand und Nutzen und mußt Du selbst entscheiden. Im privaten Umfeld vielleicht nicht notwendig, im Firmen-Umfeld immer zu bevorzugen (und so ein kleiner Switch kosten doch nur 20€).
Jürgen
die Trennung des Datenverkehrs in LAN und DMZ wird in der Regel in einer Firewall vorgenommen, da man dort bessere und umfangreichere Konfigurationsmöglichkeiten hat. Dazu besitzt die Firewal normalerweise neben dem WAN- und dem LAN-Port noch einen 3. Port, der als DMZ mit eigenem IP-Bereich konfiguriert wird.
Natürlich kann man nun auf dem nachfolgenden Switch ein eigenes DMZ-VLAN definieren (alle Ports untagged) und einen Port mit dem DMZ-Port der Firewall verbinden. Der Webserver "hängt" dann am VLAN-Switch im DMZ-VLAN.
Für mehr Sicherheit würde ich aber die DMZ über einen eigenen physischen L2-Switch (5-8 Ports, unmanaged) realisieren. Das hat den Vorteil, dass die DMZ-Daten nicht über Komponenten des LAN geführt werden und somit nicht in das LAN "eindringen" können (Wenn der VLAN-Switch fehlerhaft arbeitet und die VLANs nicht sauber trennt).
Das ist aber eine Frage von Aufwand und Nutzen und mußt Du selbst entscheiden. Im privaten Umfeld vielleicht nicht notwendig, im Firmen-Umfeld immer zu bevorzugen (und so ein kleiner Switch kosten doch nur 20€).
Jürgen
@chiefteddy
ich habe eine Cisco 5505 eine Firewall vor paar Tagen geschenkt bekommt der Wäre doch super für diesesn Fall oder sollte doch lieber eine unmanaged holen?
Ahm noch mal ganz kurz sollte ich dann die Firewall/zusätzliche unmanaged Switch direkt an die FB anschließen oder wäre hier wieder ein VLAN im L3 Switch zuerstellen aber wenn nich mich nicht verlesen habe würde das ein Sicherheitsrisiko sein oder. An der FB dann den Port 80o.ä freigeben.
ich habe eine Cisco 5505 eine Firewall vor paar Tagen geschenkt bekommt der Wäre doch super für diesesn Fall oder sollte doch lieber eine unmanaged holen?
Ahm noch mal ganz kurz sollte ich dann die Firewall/zusätzliche unmanaged Switch direkt an die FB anschließen oder wäre hier wieder ein VLAN im L3 Switch zuerstellen aber wenn nich mich nicht verlesen habe würde das ein Sicherheitsrisiko sein oder. An der FB dann den Port 80o.ä freigeben.
Hallo,
die Cisco ASA 5505 ist eine vollwertige Firewall mit 8 Fast-Ethernet-Ports. Ohne das ich jetzt die Konfiguration im Detail kenne, da wird man sicher die Ports den Funktionen WAN, LAN und DMZ zuordnen können. Ich fürchte aber, die Komplexität der Konfiguration wird Dich überfordern. Da brauchst Du sicher Hilfe.
Die FritzBox brauchst Du dann eigentlich nur noch als Internetzugang und TK-Anlage; Firewall usw. kannst Du da dann unbeachtet lassen.
Also: Internet --> WAN-Port FB --> LAN-Port FB --> "WAN-Port" Cisco --> LAN-Port Cisco --> L3 Switch
--> DMZ-Port Cisco --> Web-Server
Wenn Du nur die FritzBox nutzt, kannst Du, glaube ich, einen Port als pseudo-DMZ konfigurieren. Dort kommt der Web-Server dran (oder der kleine Switch und dann der Web-Server und weitere Geräte der DMZ). An den LAN-Port der FB kommt der L3-Switch. Dann "macht" die FritzBox aber die ganze Sicherheit.
Jürgen
die Cisco ASA 5505 ist eine vollwertige Firewall mit 8 Fast-Ethernet-Ports. Ohne das ich jetzt die Konfiguration im Detail kenne, da wird man sicher die Ports den Funktionen WAN, LAN und DMZ zuordnen können. Ich fürchte aber, die Komplexität der Konfiguration wird Dich überfordern. Da brauchst Du sicher Hilfe.
Die FritzBox brauchst Du dann eigentlich nur noch als Internetzugang und TK-Anlage; Firewall usw. kannst Du da dann unbeachtet lassen.
Also: Internet --> WAN-Port FB --> LAN-Port FB --> "WAN-Port" Cisco --> LAN-Port Cisco --> L3 Switch
--> DMZ-Port Cisco --> Web-Server
Wenn Du nur die FritzBox nutzt, kannst Du, glaube ich, einen Port als pseudo-DMZ konfigurieren. Dort kommt der Web-Server dran (oder der kleine Switch und dann der Web-Server und weitere Geräte der DMZ). An den LAN-Port der FB kommt der L3-Switch. Dann "macht" die FritzBox aber die ganze Sicherheit.
Jürgen
Hi,
alles super ich denke ich kriege das schon hin ;) . Aber ein letzte Frage/Problem gibt es noch die Ports auf dem Cisco sind nur 8x 100/10 Mbit/s und die beim L3 Switch 3com sind 48x 1000/100/10 Mbit/s udn 4 SFP, da du geschriben, dass das wie folgt sein soll
FB Port-> CiscoPort*
CiscoPort-> L3 Switch Gerät angeschlossen an dem dann die Clients unter VLAN laufen
CiscoPort-> Port DMZ konfigurierter hängt Webserver
*könnte man ja wiede VLAN etc.
Da die Cisco nun nur 100Mbit/s durchläst würde dass ja dann auch die Geschwindigkeit im Gesamte L3 Switch runterdrosseln oder? wäre ja zuschade für die Switch.
Würde es wirklich nicht gehen wenn die Cisco und L3 Switch separat an Ports der FB stecken also wie folgt
FB
FBPort -> L3 Switch mit VLANs
FBPort-> Cisco Port 3xVLAN (VLANinnen* ), (VLANaußen * * ),(VLANDMZ* * * )
( * ) hier kann ich dann ein Client ranhängen bzw. wenn es geht einen Client von dem L3 Switch (aber alles nach und nach)
( * * ) Hier hängt Kabel der FB
( * * * ) Hier hängt der Webserver und der Rest
Sicherheitsbedenken?
alles super ich denke ich kriege das schon hin ;) . Aber ein letzte Frage/Problem gibt es noch die Ports auf dem Cisco sind nur 8x 100/10 Mbit/s und die beim L3 Switch 3com sind 48x 1000/100/10 Mbit/s udn 4 SFP, da du geschriben, dass das wie folgt sein soll
FB Port-> CiscoPort*
CiscoPort-> L3 Switch Gerät angeschlossen an dem dann die Clients unter VLAN laufen
CiscoPort-> Port DMZ konfigurierter hängt Webserver
*könnte man ja wiede VLAN etc.
Da die Cisco nun nur 100Mbit/s durchläst würde dass ja dann auch die Geschwindigkeit im Gesamte L3 Switch runterdrosseln oder? wäre ja zuschade für die Switch.
Würde es wirklich nicht gehen wenn die Cisco und L3 Switch separat an Ports der FB stecken also wie folgt
FB
FBPort -> L3 Switch mit VLANs
FBPort-> Cisco Port 3xVLAN (VLANinnen* ), (VLANaußen * * ),(VLANDMZ* * * )
( * ) hier kann ich dann ein Client ranhängen bzw. wenn es geht einen Client von dem L3 Switch (aber alles nach und nach)
( * * ) Hier hängt Kabel der FB
( * * * ) Hier hängt der Webserver und der Rest
Sicherheitsbedenken?
Hallo,
jeder Switch-Port "kämpft" für sich alleine.
Und da Du ja sicher keinen GigaBit-Internetanschluß hast, werden die Fast-Ethernet-Ports der Firewall ja nicht zum Flaschenhals werden.
Der interne Datenverkehr im LAN läuft, so die Endgeräte es unterstüzen, natürlich mit GigaBit-Geschwindigkeit.
Jürgen
jeder Switch-Port "kämpft" für sich alleine.
Und da Du ja sicher keinen GigaBit-Internetanschluß hast, werden die Fast-Ethernet-Ports der Firewall ja nicht zum Flaschenhals werden.
Der interne Datenverkehr im LAN läuft, so die Endgeräte es unterstüzen, natürlich mit GigaBit-Geschwindigkeit.
Jürgen
@chiefteddy
Hi,
danke erst Mal für die ganze Mühe und die Zeit. Wir haben wie die meisten zur Zeit eine 50 MBit\s Leitung "bringt wirklich alles her" und 50 Mbit sind natürlich nicht das was man denk, da es umgerechnet viel viel weniger ist aber naja. Man braucht da wohl eine feste, symmetrische Bandbreite für Up- und Downstream aber dafür fehlt uns als Startup noch das Geld.
Du meintest, dass
Was genau meintest du damit, das die alle separat arbeiten und voll Leistung beziehen?
Ok Flaschenhals kommt nicht aber wie kann es zwischen den Geräten Gig sein, da die nur an der Switch hängen oder wie oder denke ich gerade bisschen falsch?
Hi,
danke erst Mal für die ganze Mühe und die Zeit
. Wir haben wie die meisten zur Zeit eine 50 MBit\s Leitung "bringt wirklich alles her" und 50 Mbit sind natürlich nicht das was man denk, da es umgerechnet viel viel weniger ist aber naja. Man braucht da wohl eine feste, symmetrische Bandbreite für Up- und Downstream aber dafür fehlt uns als Startup noch das Geld.Du meintest, dass
jeder Switch-Port "kämpft" für sich alleine.
Was genau meintest du damit, das die alle separat arbeiten und voll Leistung beziehen?
Der interne Datenverkehr im LAN läuft, so die Endgeräte es unterstüzen, natürlich mit GigaBit-Geschwindigkeit.
Ok Flaschenhals kommt nicht aber wie kann es zwischen den Geräten Gig sein, da die nur an der Switch hängen oder wie oder denke ich gerade bisschen falsch?
Hallo,
um Deine Fragen genauer zu beantworten, müßte ich mehr über das Netz und die dort vorhandenen Geräte wissen. Ich definiere jetzt mal einfach etwas:
In einem Netz benötige ich eine Vielzahl von Diensten, die ich auf meheren Servern laufen lasse (ich mache das jetzt mal mit MS-Produkten)
1. Server: DC, DNS; DHCP, Print
2. Server: DC; DNS, WSUS
3. Server: File
4. Server: Exchange
5. Server: ERP-System
6. Server: Backup
NAS für Backups
Diese Server und das NAS packe ich alle aus Sicherheitsgründen in ein separates VLAN/ IP-Subnetz. Alle Server haben GigaBit-Anschlüsse und sind mit dem zentralen L3-Switch verbunden. Aus leistungsgründen ist der Fileserver mit 2 GB-Links als Trunk am Switch angeschlossen.
Die Clients der Verwaltung und der Buchhaltung incl. ihrer Drucker sind in einem weitern VLAN/ IP-Subnetz zusammengefaßt und über GB-Ethernet am Switch angeschlossen. Die Drucker haben aber nur Fast-Ethernet-Ports. Sie sind zwar auch an GB-Ports des zentralen Switches angeschlossen, arbeiten aber nur mit 100MBit.
In einem 3. VLAN/ IP-Subnetz sind die Clients der Entwicklungsabteilung zusammengefaßt und ebenfalls mit GB am zentralen Switch angeschlossen
Ca. 70% des Client-Datenverkehrs bleibt im LAN, dh. geht ins VLAN der Server.
Heutige Switche können problemlos "Full-Wire-Speed" arbeiten. Dh. sie können den kompletten Datenverkehr aller Ports gleichzeitig ohne Verzögerung verarbeiten. Entscheidend ist hier die Backplane-Bandbreite des Switches. Bei zB 24 GB-Ports muß der Swicht eine Backplane-Bandbreite von 2 (duplex) x 24 Ports x 1GB = 48GB haben.
Ca. 30% des Client-Datenverkehrs verlassen das LAN in Richtung Internet. Wenn die Firewall nur Fast-Ethernet-Ports hat und auch an dem zentralen L3-Switch angeschlossen ist, arbeitet dieser Link eben nur mit 100MBit. Das ist bei einem Datenverhältnis 70/30 ja auch kein Problem. Und der Internet-Link schafft ja eh nur 50MB.
Die Prozent-Zahlen sind nur ein Bsp. für ein Fertigung-Unternehmen mit eigenen Servern. Für eine Internet-Firma oder bei Nutzung von Cloude-Diensten (Office 365, Exchange als Dienst beim Provider usw.) können sich andere Verhältnisse ergeben.
Wenn ein Gerät (Client, Drucker, anderer Switch) an einen Port eines Switches angeschlossen ist, handeln beide Netzwerk-Ports die maximale Datenrate aus und stellen sich darauf ein (Switch: 1GB; Client: 1GB ==> 1GB - Switch:1GB; Drucker: 100MB ==> 100MB). Diesen Vorgang nennt man Auto-Negotation ( https://de.wikipedia.org/wiki/Autonegotiation ).
Jürgen
um Deine Fragen genauer zu beantworten, müßte ich mehr über das Netz und die dort vorhandenen Geräte wissen. Ich definiere jetzt mal einfach etwas:
In einem Netz benötige ich eine Vielzahl von Diensten, die ich auf meheren Servern laufen lasse (ich mache das jetzt mal mit MS-Produkten)
1. Server: DC, DNS; DHCP, Print
2. Server: DC; DNS, WSUS
3. Server: File
4. Server: Exchange
5. Server: ERP-System
6. Server: Backup
NAS für Backups
Diese Server und das NAS packe ich alle aus Sicherheitsgründen in ein separates VLAN/ IP-Subnetz. Alle Server haben GigaBit-Anschlüsse und sind mit dem zentralen L3-Switch verbunden. Aus leistungsgründen ist der Fileserver mit 2 GB-Links als Trunk am Switch angeschlossen.
Die Clients der Verwaltung und der Buchhaltung incl. ihrer Drucker sind in einem weitern VLAN/ IP-Subnetz zusammengefaßt und über GB-Ethernet am Switch angeschlossen. Die Drucker haben aber nur Fast-Ethernet-Ports. Sie sind zwar auch an GB-Ports des zentralen Switches angeschlossen, arbeiten aber nur mit 100MBit.
In einem 3. VLAN/ IP-Subnetz sind die Clients der Entwicklungsabteilung zusammengefaßt und ebenfalls mit GB am zentralen Switch angeschlossen
Ca. 70% des Client-Datenverkehrs bleibt im LAN, dh. geht ins VLAN der Server.
Heutige Switche können problemlos "Full-Wire-Speed" arbeiten. Dh. sie können den kompletten Datenverkehr aller Ports gleichzeitig ohne Verzögerung verarbeiten. Entscheidend ist hier die Backplane-Bandbreite des Switches. Bei zB 24 GB-Ports muß der Swicht eine Backplane-Bandbreite von 2 (duplex) x 24 Ports x 1GB = 48GB haben.
Ca. 30% des Client-Datenverkehrs verlassen das LAN in Richtung Internet. Wenn die Firewall nur Fast-Ethernet-Ports hat und auch an dem zentralen L3-Switch angeschlossen ist, arbeitet dieser Link eben nur mit 100MBit. Das ist bei einem Datenverhältnis 70/30 ja auch kein Problem. Und der Internet-Link schafft ja eh nur 50MB.
Die Prozent-Zahlen sind nur ein Bsp. für ein Fertigung-Unternehmen mit eigenen Servern. Für eine Internet-Firma oder bei Nutzung von Cloude-Diensten (Office 365, Exchange als Dienst beim Provider usw.) können sich andere Verhältnisse ergeben.
Wenn ein Gerät (Client, Drucker, anderer Switch) an einen Port eines Switches angeschlossen ist, handeln beide Netzwerk-Ports die maximale Datenrate aus und stellen sich darauf ein (Switch: 1GB; Client: 1GB ==> 1GB - Switch:1GB; Drucker: 100MB ==> 100MB). Diesen Vorgang nennt man Auto-Negotation ( https://de.wikipedia.org/wiki/Autonegotiation ).
Jürgen
Also bekommt die FB ein eigene VLAN, wenn ich mich nicht gerade verlesen haben!? also bei deinem Beispiel VLAN90 dann wars wirklich einfach
Das muss nicht zwingend so sein aber ohne das separate VLAN hast du den Internet Router und auch dessen gesamten Traffic von den anderen Netzen immer in einem produktiv VLAN.Aus Designsicht ist das nicht gut und eher kontraproduktiv, gerade weil du strikte Kommunikationsbeziehungen zw. den VLANs als Voraussetzung hast.
Das Setup ist erheblich einfacher wenn du dem Internet Anschluss dann ein separates Segment sprich VLAN am Switch konfigurierierst.
@chiefteddy
Hi
etwas hängt mir noch im Hirn rum. In der Regel wer eine FB benutzt der nutzt ja auch meist automatisch den DHCP Server der FB. Nun wenn ich alles richtig einstelle mit dem L3 Switch und der Firewall, was muss bei den Clients machen? Weil sonst hängen die ja noch an dem DHCP Server der FB oder und die FB teilt weiterhin die FB? Haben noch nicht den Internen Server für die Clients konfiguriert sodass dieser der DHCP Server für die Clients ist? Oder wenn die Clients noch an der FB hängen ist da an dem L3 und der Firewall etwas falsch konfiguriert ?. So logisch wie du es erklärt hat habe ich die auch konfiguriert
->Also von der FB ein Kabel in die Firewall, auf der Firewall sind 3 VLAN konfigurert 1x Inside(Security 100) 1x Outside(Security 0) 1x dmz(Security 50); Auf dem Ouside Port steck das Kabel der FB und Inside Port steck das Kabel welche mit dem L3 Switch verbinden. DMZ Port hängt der Server welche für nach außen ist. Die jeweiligen Interfaces auf dem L3 Switch haben auch eine IP.
Sollte ich den DHCP Teil am besten dem Internen Server überlassen. Wenn nicht wie kann ich das nachvollziehen, dass alles geklappt hat .
Also ich glaube jetzt doch das die Clients bekommen nicht mehr die IP vom FB zugeteilt bekommen aber DNS ist immer noch der von der FB das ist sicher.
Ich denke glaube ja falsch oder zu kompliziert sodass es wieder falsch wird
Achso alle Geräte kommen aber ins Internet!! Bei dieser Konfiguration und der Verkabelung.
Hi
etwas hängt mir noch im Hirn rum. In der Regel wer eine FB benutzt der nutzt ja auch meist automatisch den DHCP Server der FB. Nun wenn ich alles richtig einstelle mit dem L3 Switch und der Firewall, was muss bei den Clients machen? Weil sonst hängen die ja noch an dem DHCP Server der FB oder und die FB teilt weiterhin die FB? Haben noch nicht den Internen Server für die Clients konfiguriert sodass dieser der DHCP Server für die Clients ist? Oder wenn die Clients noch an der FB hängen ist da an dem L3 und der Firewall etwas falsch konfiguriert ?. So logisch wie du es erklärt hat habe ich die auch konfiguriert
->Also von der FB ein Kabel in die Firewall, auf der Firewall sind 3 VLAN konfigurert 1x Inside(Security 100) 1x Outside(Security 0) 1x dmz(Security 50); Auf dem Ouside Port steck das Kabel der FB und Inside Port steck das Kabel welche mit dem L3 Switch verbinden. DMZ Port hängt der Server welche für nach außen ist. Die jeweiligen Interfaces auf dem L3 Switch haben auch eine IP.
Sollte ich den DHCP Teil am besten dem Internen Server überlassen. Wenn nicht wie kann ich das nachvollziehen, dass alles geklappt hat .
Also ich glaube jetzt doch das die Clients bekommen nicht mehr die IP vom FB zugeteilt bekommen aber DNS ist immer noch der von der FB das ist sicher.
Ich denke glaube ja falsch oder zu kompliziert sodass es wieder falsch wird
Achso alle Geräte kommen aber ins Internet!! Bei dieser Konfiguration und der Verkabelung.
Hallo,
die FritzBox als DNS- und DHCP-Server für die Geräte im LAN zu nutzen, ist aus meheren Gründen keine gute Idee.
1. Die FritzBox steht vor der Firewall und damit im ungeschützten, dh. gefährdeten Bereich. Damit haben interne Daten (DHCP-Leases) und
Funktionen dort nichts zu suchen.
2. Die Anforderung einer IP-Adresse durch einen Client erfolgt durch Broadcast. Broadcast wird aber nicht geroutet, dh. der DHCP-Server
muß normalerweise in der gleichen Broadcast-Domäne wie die Clients stehen.
Wenn das nicht der Fall ist, muß man den Router (oder in Deinem Fall den L3-Switch) als DHCP-Relais konfigurieren.
3. Jedes VLAN hat ja ein eigenes IP-Subnetz. Damit muß der DHCP-Server für jedes Subnetz (IP-Adressbereich) einen eigenen Bereich verwalten.
Ob das die Fritzbox kann weiß ich nicht genau. Die meisten SOHO-Router können ist nicht.
4. Die FritzBox sollte aus Sicherheitsgründen nicht die DNS-Domäne der Firma (LAN) verwalten. Sie ist in Deiner Konstellation maximal
DNS-Forwarder.
Üblicherweise setzt man in einem Windows-Netzwerk den DC als DNS- und DHCP-Server ein. Hier hat man alle Konfigurationsmöglichkeiten
die man braucht.
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
https://de.wikipedia.org/wiki/Domain_Name_System
Jürgen
die FritzBox als DNS- und DHCP-Server für die Geräte im LAN zu nutzen, ist aus meheren Gründen keine gute Idee.
1. Die FritzBox steht vor der Firewall und damit im ungeschützten, dh. gefährdeten Bereich. Damit haben interne Daten (DHCP-Leases) und
Funktionen dort nichts zu suchen.
2. Die Anforderung einer IP-Adresse durch einen Client erfolgt durch Broadcast. Broadcast wird aber nicht geroutet, dh. der DHCP-Server
muß normalerweise in der gleichen Broadcast-Domäne wie die Clients stehen.
Wenn das nicht der Fall ist, muß man den Router (oder in Deinem Fall den L3-Switch) als DHCP-Relais konfigurieren.
3. Jedes VLAN hat ja ein eigenes IP-Subnetz. Damit muß der DHCP-Server für jedes Subnetz (IP-Adressbereich) einen eigenen Bereich verwalten.
Ob das die Fritzbox kann weiß ich nicht genau. Die meisten SOHO-Router können ist nicht.
4. Die FritzBox sollte aus Sicherheitsgründen nicht die DNS-Domäne der Firma (LAN) verwalten. Sie ist in Deiner Konstellation maximal
DNS-Forwarder.
Üblicherweise setzt man in einem Windows-Netzwerk den DC als DNS- und DHCP-Server ein. Hier hat man alle Konfigurationsmöglichkeiten
die man braucht.
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
https://de.wikipedia.org/wiki/Domain_Name_System
Jürgen
@chiefteddy
Hi,
habe gerade an der Cisco folgendes gemacht was sagt du dazu :
System IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 CONFIG
Vlan2 outside unassigned unassigned DHCP
Vlan3 dmz 192.168.50.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 CONFIG
Vlan2 outside unassigned unassigned DHCP
Vlan3 dmz 192.168.50.1 255.255.255.0 CONFIG
Route:
Gateway of last resort is not set
C 127.1.0.0 255.255.0.0 is directly connected, _internal_loopback
aber irgendwie
Dhcpd:
Context Configured as DHCP Server
Interface inside, Configured for DHCP SERVER
Interface outside, Configured for DHCP CLIENT
Interface dmz, Configured for DHCP SERVER
NAT
NAT policies on Interface inside:
match ip inside any inside any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
match ip inside any outside any
dynamic translation to pool 1 (0.0.0.0 [Interface PAT])
translate_hits = 0, untranslate_hits = 0
match ip inside any dmz any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
match ip inside any _internal_loopback any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
NAT policies on Interface dmz:
match ip dmz any outside any
dynamic translation to pool 1 (0.0.0.0 [Interface PAT])
translate_hits = 0, untranslate_hits = 0
match ip dmz any dmz any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
Also der DMZ ist auf einem subnet so wie die anderen auch. Bringen dir die Daten oben überhaupt genug Informationen um überhaupt etwas zusagen?
Hi,
habe gerade an der Cisco folgendes gemacht was sagt du dazu :
System IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 CONFIG
Vlan2 outside unassigned unassigned DHCP
Vlan3 dmz 192.168.50.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 CONFIG
Vlan2 outside unassigned unassigned DHCP
Vlan3 dmz 192.168.50.1 255.255.255.0 CONFIG
Route:
Gateway of last resort is not set
C 127.1.0.0 255.255.0.0 is directly connected, _internal_loopback
aber irgendwie
Dhcpd:
Context Configured as DHCP Server
Interface inside, Configured for DHCP SERVER
Interface outside, Configured for DHCP CLIENT
Interface dmz, Configured for DHCP SERVER
NAT
NAT policies on Interface inside:
match ip inside any inside any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
match ip inside any outside any
dynamic translation to pool 1 (0.0.0.0 [Interface PAT])
translate_hits = 0, untranslate_hits = 0
match ip inside any dmz any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
match ip inside any _internal_loopback any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
NAT policies on Interface dmz:
match ip dmz any outside any
dynamic translation to pool 1 (0.0.0.0 [Interface PAT])
translate_hits = 0, untranslate_hits = 0
match ip dmz any dmz any
dynamic translation to pool 1 (No matching global)
translate_hits = 0, untranslate_hits = 0
Also der DMZ ist auf einem subnet so wie die anderen auch. Bringen dir die Daten oben überhaupt genug Informationen um überhaupt etwas zusagen?
Hallo @vGaven,
ich muß Dich hier leider enttäuschen, Cisco ist nicht meine "Welt". Insofern kann ich die Konfiguration nicht so ohne weiteres "lesen".
Es gibt aber hier im Forum sicher einige Mitglieder, die Dir da weiter helfen können.
Jürgen
ich muß Dich hier leider enttäuschen, Cisco ist nicht meine "Welt". Insofern kann ich die Konfiguration nicht so ohne weiteres "lesen".
Es gibt aber hier im Forum sicher einige Mitglieder, die Dir da weiter helfen können.
Jürgen
Hi,
ich habe noch eine Frage,
Nun habe ich einen DHCP Server von dem bekommen die Clients die IP da jetzt die FB vor der Firewall liegt dürfte ich eigentlich nicht am DHCP Server(/Windows Server) den Standard Gateway vom FB geben oder damit die Geräte ins Internet kommen.
Müsste man hier nun eine IP von der Firewall (Inside) geben?
ich habe noch eine Frage,
Nun habe ich einen DHCP Server von dem bekommen die Clients die IP da jetzt die FB vor der Firewall liegt dürfte ich eigentlich nicht am DHCP Server(/Windows Server) den Standard Gateway vom FB geben oder damit die Geräte ins Internet kommen.
Müsste man hier nun eine IP von der Firewall (Inside) geben?
Das Standardgateway muss immer auf den Router zeigen der die Default Route zum Internet hat...oder von dem Internet Router die Default Route bekommt und so den Weg zum Default Gateway kennt.
Nur das zählt.
Traceroute ist hier dein Freund zum Troubleshooten...wie immer !
Nur das zählt.
Traceroute ist hier dein Freund zum Troubleshooten...wie immer !
