samet22
Goto Top

Layer 3 Switch mit VLAN ACL - was ist gut, wie gehe ich vor?

Hallo liebe Community,

Bis jetzt habe ich die Verwaltung / Verkehr (Policy's) zwischen den VLAN's über eine Firewall geregelt, jetzt mit der Umstellung möchte ich vor der Firewall einen Layer2+/Layer3 Switch (CORE) haben damit der ganze Traffic nicht über die Firewall fließen muss/soll (-> Es sollte ein Layer2 Switch mit Layer 3 Funktionalität sein). Ich liste mal alle Fragen auf die ich habe face-smile

1.) Wäre in meinem Netzwerk die IP-Adresse von meinem Layer 3 Switch oder von meiner Firewall die Gateway-IP-Adresse?
2.) Stimmt es dass bei einem Layer 3 Switch (umgekehrt wie bei einer Firewall) zuerst der gesamt Traffic zwischen den VLAN's zugelassen ist und ich es DENY setzen muss? ODER kann ich eine Regel mit DENY any any erstellen und dann die ALLOW's hinzufügen?
3.) WIESO weise ich ACL's einem VLAN zu? wenn ich sage beispiel: Source: 192.168.1.X / 24 Destination: 192.168.10.80 Port 80 ALLOW dann ist doch klar was wie gemeint ist? bei einer Firewall sind die Policy's auch nicht zugewiesen?

4.)
Ich wollte unbedingt folgenden Layer2/Layer3 Switch haben:
- Netgear XS748T

LEIDER können die Netgear Switche die ACL's nur PORT's zuweisen und keinem VLAN, was eine Katastrophe ist, da kommt nur Blödsinn raus, vor allem wenn ich auf einem Port mehrere VLAN's getagged habe!!

ABER dieser Negear Switch ist ein 48 Port 10GB Switch mit 4 SFP+ Ports! Welches Modell von HP bietet mir einen 48 Port Layer 2 / Layer 3 Switch mit 10GB und SFP+ um diesen Preis? Oder besser gesagt etwas unter 5.000€? .. Könnte mir jemand mit HP Erfahrung hier einen "Kauf-Tipp" geben. 10GB solltes es auf jeden Fall sein!

5.) Kann ein HP-Switch mit Layer 3 Lite Funktion auch alle ACL Funktionen verwalten? wo ist die Einschränkung?
6.) Sollte ich dann einen Layer 3 Switch haben, wäre es besser ein einziges Kabel zur Firewall zu haben wo der Externe Traffic fleißt und wo alle VLAN's getagged sind? ODER sollte ich für jedes VLAN ein Lan-Kabel zur Firewall führen (Vom jeweiligen Vlan-Port weg zur Firewall meine ich)?

DANKE!

lg Samet

Content-ID: 523638

Url: https://administrator.de/forum/layer-3-switch-mit-vlan-acl-was-ist-gut-wie-gehe-ich-vor-523638.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

samrein
samrein 09.12.2019 um 12:20:28 Uhr
Goto Top
Moin Samet,

Schau Dir mal den HP 5406R zl2 Switch (J9821A) an. Der ist erweiterbar und erfüllt Deine Voraussetzungen.

ich kaufe die Switche immer im Online-Handel face-smile

Grüße
Stefan
Matt.K
Lösung Matt.K 09.12.2019 um 12:26:54 Uhr
Goto Top
Hi,

zu 1face-smile die default gateway ist der ausgang zu anderen netzen, also das gerät das routet wird die default gateway
zu 2face-smile VLAN können nur mit einem anderem VLAN eine verbindung aufbauen wenn geroutet wird, ansonsten momme ich nicht von einem VALN ins andere
zu 3- 5.) ist mir zu HP spezifisch
zu 6face-smile das kannst du selbst enscheiden, ein trunk zwischen switch und firewall scheint hier aber angezeigt zu sein, in diesem fall sind die sub-interface der firewall auch die default gateways. jedes netz bekommt ja eine.

Gruß
Matt
aqui
Lösung aqui 09.12.2019 aktualisiert um 12:44:48 Uhr
Goto Top
haben damit der ganze Traffic nicht über die Firewall fließen muss/soll
Ist vernünstig. Spich also sowas wie hier beschrieben, richtig ?
Verständnissproblem Routing mit SG300-28
Zu deinen Fragen:
1.)
Siehe Tutorial oben ! Das beantwortet umfassend alle IP Adressierungsfragen !
2.)
Ja. Ohne ein Regelwerk (Accessliste nennt man das bei einem Switch) ist im Gegensatz zu einer Firewall Routing von Any zu Any möglich. Deshalb ist ja ein Layer 3 Switch per se immer ein Router und eben keine Firewall.
Access Listen sind zudem nicht stateful was noch zu beachten ist !
3.)
Wie würdest du es denn sonst machen ??
Ein VLAN IP Interface ist ja das "Routerbein" des Layer 3 Switches das in die Layer 2 Broadcast Domain ragt. Quasi also des Router Interface. Logisch das layer 3 IP Filterlisten dann nur auf diesem Port konfiguriert werden, denn dort verlasst ja IP Traffic das VLAN. Nicht innerhalb der Layer 2 VLAN Member Ports.
Folglich richtet man also immer die Accesslisten auf diesen VLAN IP Interfaces ein !
4.)
Igitt ! Lass die Finger davon ! Das Setup damit ist gruselig.
Beschaffe dir besser eine Cisco SG-250 oder SG-350 oder einen Zyxel L3 Switch oder noch besser einen Mikrotik CRS Switch !
Der Mikrotrik Switch hat zudem noch eine vollständige statefull Firewall an Bord so das du auf deine Firewall verzichten könntest !!
https://mikrotik.com/products/group/switches
Ebenso ein Gäste Portal für Gastnetze und einen integrierten WLAN Controller wenn an auch MT WLAN Hardware einsetzt !
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
5.)
Nein. Im Billigsektor ist der HP ebensolcher und noch schlimmerer Schrott als die NetGears ! Finger weg.
Die Produkte der Wahl siehst du oben.
6.)
Du machst das mit einem Transfer VLAN Netz wie es im oben geposteten Thread beschrieben ist !
samet22
samet22 09.12.2019 um 16:22:38 Uhr
Goto Top
DANKE! für die Antwortenface-smile

Ich werde mich mal nach Hardware umschauen.

Hat CISCO auch ein Layer 2 / Layer3 Switch (Als eine Hardware) mit 48 10GB Ethernet Ports?

lg
Matt.K
Matt.K 09.12.2019 um 18:29:01 Uhr
Goto Top
CISCO, hat wirklich alles!

lg
aqui
Lösung aqui 09.12.2019 aktualisiert um 18:31:36 Uhr
Goto Top
Hat CISCO auch...
So intelligent wirst du doch noch sein das mal selber recherchieren zu können, oder ??? face-wink
SG-250:
https://www.cisco.com/c/en/us/products/switches/250-series-smart-switche ...
SG250-50 bzw. wenn du PoE benötigst für WLAN APs oder VoIP Telefone das P Model SG250-50P
Analog für den SG-350:
https://www.cisco.com/c/en/us/products/switches/350-series-managed-switc ...
samet22
samet22 10.12.2019 um 08:56:57 Uhr
Goto Top
Hallo Aqui,

Danke erstmals für deine Hilfe.

Ich glaube für mich kommt dann eher der SX550X-24 oder 52 in Frage (10Gb Ports mit Layer 2 und Layer 3 Funktionalität). Hier sehe nur nicht heraus ob dieser ein "vollwertiger" Layer 2 UND Layer 3 Swtich ist, eigentlich brauche ich eh "nur" Routing zwischen VLAN's und ACL's.

Meine aller letzte Frage:

Ich möchte gerne Sonicwall als Firewall weiter verwenden da ich damit am besten zurecht komme. Könnte die Konstellation Layer 2 und Layer 3 Switche von Cisco aber Firewall von Sonicwall zu einer guten Zusammenarbeit führen?

... Ich kann mich noch erinnern als Cisco vor 10 Jahren Probleme mit anderen Switchen hatte was LACP / TRUNK betroffen hat.

Danke!

lg
aqui
aqui 10.12.2019 um 13:10:39 Uhr
Goto Top
Die SG-250X und 350X haben auch 10 GiG Ports. Generell ist bei L3 die 350X oder eben 500X die beste Wahl. 500X ist aber schon ein großes Kaliber. Wenn du 10G nur Uplinks hast ist das nicht unbedingt zwingend.
Hier sehe nur nicht heraus ob dieser ein "vollwertiger" Layer 2 UND Layer 3 Swtich
Komisch...steht hier doch alles schwarz auf weiss:
https://www.cisco.com/c/dam/en/us/products/collateral/switches/350-serie ...
Könnte die Konstellation Layer 2 und Layer 3 Switche von Cisco aber Firewall von Sonicwall zu einer guten Zusammenarbeit führen?
Ja, das ist millionenfacher Standard in Netzwerken !
Nimm nur mal das simple Beispiel Gast WLAN. Das routet man niemals über einen L3 Switch aus gutem Grund, sondern schleift rein nur das VLAN im Layer 2 durch und terminiert es dann im L3 auf einer Firewall.
Idealerweise mit einem Captive Portal.
Ich kann mich noch erinnern als Cisco vor 10 Jahren Probleme mit anderen Switchen hatte was LACP / TRUNK betroffen hat.
Das sind bekanntlich keine "Probleme" sondern technisch normal und kennt auch jeder Netzwerker !
Cisco nutzt ein prorietäres Spanning Tree Verfahren. Nennt sich PVSTP+.
Es ist ein Per VLAN Spanning Tree Verfahren was andere Hersteller so auch nutzen aber Cisco verwendet nicht Standard konforme BPDU Mac Adressen im Ethernet dafür.
Einhe andere hersteller wie Ruckus ICX usw. erkennen das selbständig und konfigurieren sich entsprechend automatisch um an solchen Ports.
Die Masse der Billighersteller kann das aber nicht. Diese supporten nicht mal ein Per VLAN Spanning Tree Verfahren und können meist nur das simple Single Spann Verfahren des Massenmarktes.
Da die Spanning Tree Verfahren nicht kompatibel sind kommt es dann zu den von dir benannten "Problemen" im Netz wenn man das nicht beachtet.
Das ist aber ein uralter Hut den nun wirklich jeder Netzwerker seit Jahrzehnten kennt der heterogene Netze mit Cisco betreibt. Da einigt man sich dann auf das MSTP Verfahren was Cisco auch kann.
Guckst du z.B. hier:
Spanning-Tree Modus-Migration (PVST nach MST bei Cisco)

Aber auch hier kannst du ganz ruhig bleiben !!!
Auf Cisco's SoHo SG Billigschiene gibt es keinerlei PVSTP+ die kennen auch nur Single Span face-wink
Passt also... face-wink