Layer 2 Firewall - MAC-Tabellen der Switche mit doppelten Einträgen
Hallo!
Ich habe gerade hier folgendes Szenario:
ROUTER -> Bridging Firewall -> Server
* VLAN 100 * * VLAN 200 *
Die Bridging-Firewall hängt also mit einem Fuß im VLAN 100 und mit einem Fuß im VLAN 200 auf einem Switch. Spanning-Tree ist auf diesen zwei Ports entsprechend deaktiviert.
Was mich jetzt wunder ist, ob das nicht problematisch ist mit den MAC-access-lists der Switche. Die Firewall arbeitet als dynamische Bridge, die nur filter. Jetzt sind aber die MAC-Adressen in den Access-Listen der Switche sowohl mit VLAN 100, als auch mit VLAN 200 zu sehen. Muss ich dadurch mit Problemen rechnen?
Vielen Dank und Grüße
Phil
Ich habe gerade hier folgendes Szenario:
ROUTER -> Bridging Firewall -> Server
* VLAN 100 * * VLAN 200 *
Die Bridging-Firewall hängt also mit einem Fuß im VLAN 100 und mit einem Fuß im VLAN 200 auf einem Switch. Spanning-Tree ist auf diesen zwei Ports entsprechend deaktiviert.
Was mich jetzt wunder ist, ob das nicht problematisch ist mit den MAC-access-lists der Switche. Die Firewall arbeitet als dynamische Bridge, die nur filter. Jetzt sind aber die MAC-Adressen in den Access-Listen der Switche sowohl mit VLAN 100, als auch mit VLAN 200 zu sehen. Muss ich dadurch mit Problemen rechnen?
Vielen Dank und Grüße
Phil
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 242741
Url: https://administrator.de/forum/layer-2-firewall-mac-tabellen-der-switche-mit-doppelten-eintraegen-242741.html
Ausgedruckt am: 02.04.2025 um 12:04 Uhr
13 Kommentare
Neuester Kommentar

Hallo,
Gruß
Dobby
Warum findest Du das kein gutes Design?
Kann man das mit Switch ACLs nicht auch machen?Hältst Du einfach insgesamt nichts von Filtern auf Layer 2 und würdest immer routen?
Bridge wenn Du musst und route wenn Du kannst!Gruß
Dobby

Meine Layer2-Firewall (Palo Alto PA-3020) macht einfach mehr, als Switch-ACLs können
(IPS, AV, Decryption, etc).
Ne klar ist aber auch ein völlig anderes Gerät und auch nicht nur ein Layer2 Gerät!!!(IPS, AV, Decryption, etc).
Denn egal was die kann, entweder Du hast Layer3 Switche oder aber Du brauchst
jemand anderen der zwischen den VLANs routen kann!
Layer 3 wäre schon ein echter Kraftakt für mich, weil ich wirklich richtig viel ändern müsste.
Eigentlich muss man ja nur die VLANs bis auf die Firewall führen, oder?Das möchte ich eigentlich vermeiden.
So hat sich das auch heraus gelesen.Nur deshalb mit "port flapping" und "Rx bzw. Tx" "packet loss" zu leben oder aber
sogar das ganze Netzwerk auf tönerne Füße zu stellen ist auch nicht das Wahre.
Gruß
Dobby

Warum denn port-flapping und packet loss? Eigentlich sollte das auch auch bei Layer2 nicht das
Problem sein, oder hast Du das schon so gesehen?
Das bezog sich auf das "bridgen" der Ports.Problem sein, oder hast Du das schon so gesehen?
Klar könnte ich das irgendwie umbiegen, aber eigentlich möchte ich die Palo-Alto nicht als Edge-
Router, weil die IPSec-Konfiguraion so schrecklich ist. Wenn sie hinter dem derzeitigen Router im
Layer2 steht, muss ich irgendwie ein Transfernetz "einbiegen". Das würde ich nur machen, wenn es > gar nicht anders geht.
Na dann einfach einen MikroTik RB450G besorgen und dann dazwischen klemmen und gut ist es.Router, weil die IPSec-Konfiguraion so schrecklich ist. Wenn sie hinter dem derzeitigen Router im
Layer2 steht, muss ich irgendwie ein Transfernetz "einbiegen". Das würde ich nur machen, wenn es > gar nicht anders geht.
Bei größeren Netzwerken kann es auch ruhig ein RB1200 oder RB1100 sein oder aber ein
RB1100AHx2.
Gruß
Dobby

Für mich ist eher entscheidend: Layer 2 Firewalls haben einen ziemlich schlechten Ruf und
ich weiß nicht so ganz, warum. Klar kann ich auf Layer 3 gehen und ein Transfernetz bauen,
aber gerade fehlen mir ein paar Argumente, warum.
Ich denke da muss doch irgend wo einer das Routing übernehmen,ich weiß nicht so ganz, warum. Klar kann ich auf Layer 3 gehen und ein Transfernetz bauen,
aber gerade fehlen mir ein paar Argumente, warum.
bei Euch im Netzwerk und das sind nicht die Layer2 Switche
und auch nicht eine Layer2 Firewall!
Gruß
Dobby

IPSEC-Router -> Layer 2 Firewall PA-3020 -> IPTables-Firewall -
Eine ~16000 € NG Firewall ist nicht schnell genug und es sindnoch zwei weitere Router/Firewalls nötig?
PaloAlto Networks
PA-3020
- 2 Gbps firewall throughput (App-ID enabled1)
- 1 Gbps threat prevention throughput
- 500 Mbps IPSec VPN throughput
- 250,000 max sessions
- 50,000 new sessions per second
- 1,000 IPSec VPN tunnels/tunnel interfaces
- 1,000 SSL VPN Users
- 10 virtual routers
- 1/6 virtual systems (base/max2)
- 40 security zones
- 2,500 max number of policies
Ich klinke mich dann mal aus lieber aus.
Gruß
Dobby