Layer 2 Firewall - MAC-Tabellen der Switche mit doppelten Einträgen
Hallo!
Ich habe gerade hier folgendes Szenario:
ROUTER -> Bridging Firewall -> Server
* VLAN 100 * * VLAN 200 *
Die Bridging-Firewall hängt also mit einem Fuß im VLAN 100 und mit einem Fuß im VLAN 200 auf einem Switch. Spanning-Tree ist auf diesen zwei Ports entsprechend deaktiviert.
Was mich jetzt wunder ist, ob das nicht problematisch ist mit den MAC-access-lists der Switche. Die Firewall arbeitet als dynamische Bridge, die nur filter. Jetzt sind aber die MAC-Adressen in den Access-Listen der Switche sowohl mit VLAN 100, als auch mit VLAN 200 zu sehen. Muss ich dadurch mit Problemen rechnen?
Vielen Dank und Grüße
Phil
Ich habe gerade hier folgendes Szenario:
ROUTER -> Bridging Firewall -> Server
* VLAN 100 * * VLAN 200 *
Die Bridging-Firewall hängt also mit einem Fuß im VLAN 100 und mit einem Fuß im VLAN 200 auf einem Switch. Spanning-Tree ist auf diesen zwei Ports entsprechend deaktiviert.
Was mich jetzt wunder ist, ob das nicht problematisch ist mit den MAC-access-lists der Switche. Die Firewall arbeitet als dynamische Bridge, die nur filter. Jetzt sind aber die MAC-Adressen in den Access-Listen der Switche sowohl mit VLAN 100, als auch mit VLAN 200 zu sehen. Muss ich dadurch mit Problemen rechnen?
Vielen Dank und Grüße
Phil
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 242741
Url: https://administrator.de/forum/layer-2-firewall-mac-tabellen-der-switche-mit-doppelten-eintraegen-242741.html
Ausgedruckt am: 30.04.2025 um 13:04 Uhr
13 Kommentare
Neuester Kommentar
Nein, denn Switches (jedenfalls die besseren..) führen pro VLANs getrennte Forwarding Databases ! Nur routen zwischen diesen VLANs ist damit absolut Tabu, denn das ergibt dann ein ARP Chaos !
VLANs zu bridgen ist aber dennoch kein gutes Design....
VLANs zu bridgen ist aber dennoch kein gutes Design....
Hallo Aqui!
Dann bin ich beruhigt.
Warum findest Du das kein gutes Design? Hältst Du einfach insgesamt nichts von Filtern auf Layer 2 und würdest immer routen?
Grüße
Phil
Dann bin ich beruhigt.
Warum findest Du das kein gutes Design? Hältst Du einfach insgesamt nichts von Filtern auf Layer 2 und würdest immer routen?
Grüße
Phil
Hallo,
Gruß
Dobby
Warum findest Du das kein gutes Design?
Kann man das mit Switch ACLs nicht auch machen?Hältst Du einfach insgesamt nichts von Filtern auf Layer 2 und würdest immer routen?
Bridge wenn Du musst und route wenn Du kannst!Gruß
Dobby
Hältst Du einfach insgesamt nichts von Filtern auf Layer 2 und würdest immer routen?
Ja. Siehe Zitat vom Kollegen Dobby !
Hallo!
Meine Layer2-Firewall (Palo Alto PA-3020) macht einfach mehr, als Switch-ACLs können (IPS, AV, Decryption, etc). Layer 3 wäre schon ein echter Kraftakt für mich, weil ich wirklich richtig viel ändern müsste. Das möchte ich eigentlich vermeiden.
Gruß
Phil
Meine Layer2-Firewall (Palo Alto PA-3020) macht einfach mehr, als Switch-ACLs können (IPS, AV, Decryption, etc). Layer 3 wäre schon ein echter Kraftakt für mich, weil ich wirklich richtig viel ändern müsste. Das möchte ich eigentlich vermeiden.
Gruß
Phil
Meine Layer2-Firewall (Palo Alto PA-3020) macht einfach mehr, als Switch-ACLs können
(IPS, AV, Decryption, etc).
Ne klar ist aber auch ein völlig anderes Gerät und auch nicht nur ein Layer2 Gerät!!!(IPS, AV, Decryption, etc).
Denn egal was die kann, entweder Du hast Layer3 Switche oder aber Du brauchst
jemand anderen der zwischen den VLANs routen kann!
Layer 3 wäre schon ein echter Kraftakt für mich, weil ich wirklich richtig viel ändern müsste.
Eigentlich muss man ja nur die VLANs bis auf die Firewall führen, oder?Das möchte ich eigentlich vermeiden.
So hat sich das auch heraus gelesen.Nur deshalb mit "port flapping" und "Rx bzw. Tx" "packet loss" zu leben oder aber
sogar das ganze Netzwerk auf tönerne Füße zu stellen ist auch nicht das Wahre.
Gruß
Dobby
Hey Dobby!
Warum denn port-flapping und packet loss? Eigentlich sollte das auch auch bei Layer2 nicht das Problem sein, oder hast Du das schon so gesehen?
Zu meinem Setup:
Klar könnte ich das irgendwie umbiegen, aber eigentlich möchte ich die Palo-Alto nicht als Edge-Router, weil die IPSec-Konfiguraion so schrecklich ist. Wenn sie hinter dem derzeitigen Router im Layer2 steht, muss ich irgendwie ein Transfernetz "einbiegen". Das würde ich nur machen, wenn es gar nicht anders geht.
Grüße
Phil
Warum denn port-flapping und packet loss? Eigentlich sollte das auch auch bei Layer2 nicht das Problem sein, oder hast Du das schon so gesehen?
Zu meinem Setup:
Klar könnte ich das irgendwie umbiegen, aber eigentlich möchte ich die Palo-Alto nicht als Edge-Router, weil die IPSec-Konfiguraion so schrecklich ist. Wenn sie hinter dem derzeitigen Router im Layer2 steht, muss ich irgendwie ein Transfernetz "einbiegen". Das würde ich nur machen, wenn es gar nicht anders geht.
Grüße
Phil
Warum denn port-flapping und packet loss? Eigentlich sollte das auch auch bei Layer2 nicht das
Problem sein, oder hast Du das schon so gesehen?
Das bezog sich auf das "bridgen" der Ports.Problem sein, oder hast Du das schon so gesehen?
Klar könnte ich das irgendwie umbiegen, aber eigentlich möchte ich die Palo-Alto nicht als Edge-
Router, weil die IPSec-Konfiguraion so schrecklich ist. Wenn sie hinter dem derzeitigen Router im
Layer2 steht, muss ich irgendwie ein Transfernetz "einbiegen". Das würde ich nur machen, wenn es > gar nicht anders geht.
Na dann einfach einen MikroTik RB450G besorgen und dann dazwischen klemmen und gut ist es.Router, weil die IPSec-Konfiguraion so schrecklich ist. Wenn sie hinter dem derzeitigen Router im
Layer2 steht, muss ich irgendwie ein Transfernetz "einbiegen". Das würde ich nur machen, wenn es > gar nicht anders geht.
Bei größeren Netzwerken kann es auch ruhig ein RB1200 oder RB1100 sein oder aber ein
RB1100AHx2.
Gruß
Dobby
Hallo!
Die Palo-Alto kann schon routen, aber ich muss eben irgendwie ein Transfernetz schaffen und das ist nicht ganz ohne. Da hilft mir der MikrotikRouter nicht so viel weiter, obwohl ich die Geräte sehr gerne einsetze.
Für mich ist eher entscheidend: Layer 2 Firewalls haben einen ziemlich schlechten Ruf und ich weiß nicht so ganz, warum. Klar kann ich auf Layer 3 gehen und ein Transfernetz bauen, aber gerade fehlen mir ein paar Argumente, warum.
Grüße
Phil
Die Palo-Alto kann schon routen, aber ich muss eben irgendwie ein Transfernetz schaffen und das ist nicht ganz ohne. Da hilft mir der MikrotikRouter nicht so viel weiter, obwohl ich die Geräte sehr gerne einsetze.
Für mich ist eher entscheidend: Layer 2 Firewalls haben einen ziemlich schlechten Ruf und ich weiß nicht so ganz, warum. Klar kann ich auf Layer 3 gehen und ein Transfernetz bauen, aber gerade fehlen mir ein paar Argumente, warum.
Grüße
Phil
Für mich ist eher entscheidend: Layer 2 Firewalls haben einen ziemlich schlechten Ruf und
ich weiß nicht so ganz, warum. Klar kann ich auf Layer 3 gehen und ein Transfernetz bauen,
aber gerade fehlen mir ein paar Argumente, warum.
Ich denke da muss doch irgend wo einer das Routing übernehmen,ich weiß nicht so ganz, warum. Klar kann ich auf Layer 3 gehen und ein Transfernetz bauen,
aber gerade fehlen mir ein paar Argumente, warum.
bei Euch im Netzwerk und das sind nicht die Layer2 Switche
und auch nicht eine Layer2 Firewall!
Gruß
Dobby
Hallo!
Klar!
Mein Setup sieht derzeit so aus:
| | | | |
IPSEC-Router -> Layer 2 Firewall PA-3020 -> IPTables-Firewall -
| | | | |
Die IPTables-Firewall routet zwischen 23 VLANs. Die IPSec-Router möchte ich nicht tauschen und die IPTables-Firewall brauche ich, weil die Palo-Alto nicht schnell genug ist.
Also würde ich, um auf Layer 3 zu bleiben ein Transfernetz brauchen:
Deswegen drücke ich mich davor bzw. suche Argumente dafür, den Aufwand zu betreiben und das Transfernetz einzubinden.
Grüße
Phil
Klar!
Mein Setup sieht derzeit so aus:
| | | | |
IPSEC-Router -> Layer 2 Firewall PA-3020 -> IPTables-Firewall -
| | | | |
Die IPTables-Firewall routet zwischen 23 VLANs. Die IPSec-Router möchte ich nicht tauschen und die IPTables-Firewall brauche ich, weil die Palo-Alto nicht schnell genug ist.
Also würde ich, um auf Layer 3 zu bleiben ein Transfernetz brauchen:
Deswegen drücke ich mich davor bzw. suche Argumente dafür, den Aufwand zu betreiben und das Transfernetz einzubinden.
Grüße
Phil
IPSEC-Router -> Layer 2 Firewall PA-3020 -> IPTables-Firewall -
Eine ~16000 € NG Firewall ist nicht schnell genug und es sindnoch zwei weitere Router/Firewalls nötig?
PaloAlto Networks
PA-3020
- 2 Gbps firewall throughput (App-ID enabled1)
- 1 Gbps threat prevention throughput
- 500 Mbps IPSec VPN throughput
- 250,000 max sessions
- 50,000 new sessions per second
- 1,000 IPSec VPN tunnels/tunnel interfaces
- 1,000 SSL VPN Users
- 10 virtual routers
- 1/6 virtual systems (base/max2)
- 40 security zones
- 2,500 max number of policies
Ich klinke mich dann mal aus lieber aus.
Gruß
Dobby
Hallo!
Leider ja. Meine interne Firewall hat zwar nicht den Funktionsumfang der PA, aber sie hat 10 Gbit-Interfaces und kann auch fast so schnell routen.
Beim IPSec-Router sieht es anders aus. Da finde ich einfach den Ansatz von PA nicht wirklich gut und habe Probleme, vernünftig die IPSec-Verbindungen mit Multi-WAN zu implementieren. Meine Router können das einfach besser und die sind eben auch schon konfiguriert und funktionieren ohne irgendwelche Probleme.
Den PA-Cluster habe ich zum Filtern gekauft.
Phil
Leider ja. Meine interne Firewall hat zwar nicht den Funktionsumfang der PA, aber sie hat 10 Gbit-Interfaces und kann auch fast so schnell routen.
Beim IPSec-Router sieht es anders aus. Da finde ich einfach den Ansatz von PA nicht wirklich gut und habe Probleme, vernünftig die IPSec-Verbindungen mit Multi-WAN zu implementieren. Meine Router können das einfach besser und die sind eben auch schon konfiguriert und funktionieren ohne irgendwelche Probleme.
Den PA-Cluster habe ich zum Filtern gekauft.
Phil
