Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Layer 3 Switch mit VLAN ACL - was ist gut, wie gehe ich vor?

Mitglied: samet22

samet22 (Level 1) - Jetzt verbinden

09.12.2019 um 10:24 Uhr, 425 Aufrufe, 8 Kommentare, 1 Danke

Hallo liebe Community,

Bis jetzt habe ich die Verwaltung / Verkehr (Policy's) zwischen den VLAN's über eine Firewall geregelt, jetzt mit der Umstellung möchte ich vor der Firewall einen Layer2+/Layer3 Switch (CORE) haben damit der ganze Traffic nicht über die Firewall fließen muss/soll (-> Es sollte ein Layer2 Switch mit Layer 3 Funktionalität sein). Ich liste mal alle Fragen auf die ich habe

1.) Wäre in meinem Netzwerk die IP-Adresse von meinem Layer 3 Switch oder von meiner Firewall die Gateway-IP-Adresse?
2.) Stimmt es dass bei einem Layer 3 Switch (umgekehrt wie bei einer Firewall) zuerst der gesamt Traffic zwischen den VLAN's zugelassen ist und ich es DENY setzen muss? ODER kann ich eine Regel mit DENY any any erstellen und dann die ALLOW's hinzufügen?
3.) WIESO weise ich ACL's einem VLAN zu? wenn ich sage beispiel: Source: 192.168.1.X / 24 Destination: 192.168.10.80 Port 80 ALLOW dann ist doch klar was wie gemeint ist? bei einer Firewall sind die Policy's auch nicht zugewiesen?

4.)
Ich wollte unbedingt folgenden Layer2/Layer3 Switch haben:
- Netgear XS748T

LEIDER können die Netgear Switche die ACL's nur PORT's zuweisen und keinem VLAN, was eine Katastrophe ist, da kommt nur Blödsinn raus, vor allem wenn ich auf einem Port mehrere VLAN's getagged habe!!

ABER dieser Negear Switch ist ein 48 Port 10GB Switch mit 4 SFP+ Ports! Welches Modell von HP bietet mir einen 48 Port Layer 2 / Layer 3 Switch mit 10GB und SFP+ um diesen Preis? Oder besser gesagt etwas unter 5.000€? .. Könnte mir jemand mit HP Erfahrung hier einen "Kauf-Tipp" geben. 10GB solltes es auf jeden Fall sein!

5.) Kann ein HP-Switch mit Layer 3 Lite Funktion auch alle ACL Funktionen verwalten? wo ist die Einschränkung?
6.) Sollte ich dann einen Layer 3 Switch haben, wäre es besser ein einziges Kabel zur Firewall zu haben wo der Externe Traffic fleißt und wo alle VLAN's getagged sind? ODER sollte ich für jedes VLAN ein Lan-Kabel zur Firewall führen (Vom jeweiligen Vlan-Port weg zur Firewall meine ich)?

DANKE!

lg Samet
Mitglied: samrein
09.12.2019 um 12:20 Uhr
Moin Samet,

Schau Dir mal den HP 5406R zl2 Switch (J9821A) an. Der ist erweiterbar und erfüllt Deine Voraussetzungen.

ich kaufe die Switche immer im Online-Handel

Grüße
Stefan
Bitte warten ..
Mitglied: Matt.K
LÖSUNG 09.12.2019 um 12:26 Uhr
Hi,

zu 1 die default gateway ist der ausgang zu anderen netzen, also das gerät das routet wird die default gateway
zu 2 VLAN können nur mit einem anderem VLAN eine verbindung aufbauen wenn geroutet wird, ansonsten momme ich nicht von einem VALN ins andere
zu 3- 5.) ist mir zu HP spezifisch
zu 6 das kannst du selbst enscheiden, ein trunk zwischen switch und firewall scheint hier aber angezeigt zu sein, in diesem fall sind die sub-interface der firewall auch die default gateways. jedes netz bekommt ja eine.

Gruß
Matt
Bitte warten ..
Mitglied: aqui
LÖSUNG 09.12.2019, aktualisiert um 12:44 Uhr
haben damit der ganze Traffic nicht über die Firewall fließen muss/soll
Ist vernünstig. Spich also sowas wie hier beschrieben, richtig ?
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
Zu deinen Fragen:
1.)
Siehe Tutorial oben ! Das beantwortet umfassend alle IP Adressierungsfragen !
2.)
Ja. Ohne ein Regelwerk (Accessliste nennt man das bei einem Switch) ist im Gegensatz zu einer Firewall Routing von Any zu Any möglich. Deshalb ist ja ein Layer 3 Switch per se immer ein Router und eben keine Firewall.
Access Listen sind zudem nicht stateful was noch zu beachten ist !
3.)
Wie würdest du es denn sonst machen ??
Ein VLAN IP Interface ist ja das "Routerbein" des Layer 3 Switches das in die Layer 2 Broadcast Domain ragt. Quasi also des Router Interface. Logisch das layer 3 IP Filterlisten dann nur auf diesem Port konfiguriert werden, denn dort verlasst ja IP Traffic das VLAN. Nicht innerhalb der Layer 2 VLAN Member Ports.
Folglich richtet man also immer die Accesslisten auf diesen VLAN IP Interfaces ein !
4.)
Igitt ! Lass die Finger davon ! Das Setup damit ist gruselig.
Beschaffe dir besser eine Cisco SG-250 oder SG-350 oder einen Zyxel L3 Switch oder noch besser einen Mikrotik CRS Switch !
Der Mikrotrik Switch hat zudem noch eine vollständige statefull Firewall an Bord so das du auf deine Firewall verzichten könntest !!
https://mikrotik.com/products/group/switches
Ebenso ein Gäste Portal für Gastnetze und einen integrierten WLAN Controller wenn an auch MT WLAN Hardware einsetzt !
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...
5.)
Nein. Im Billigsektor ist der HP ebensolcher und noch schlimmerer Schrott als die NetGears ! Finger weg.
Die Produkte der Wahl siehst du oben.
6.)
Du machst das mit einem Transfer VLAN Netz wie es im oben geposteten Thread beschrieben ist !
Bitte warten ..
Mitglied: samet22
09.12.2019 um 16:22 Uhr
DANKE! für die Antworten

Ich werde mich mal nach Hardware umschauen.

Hat CISCO auch ein Layer 2 / Layer3 Switch (Als eine Hardware) mit 48 10GB Ethernet Ports?

lg
Bitte warten ..
Mitglied: Matt.K
09.12.2019 um 18:29 Uhr
CISCO, hat wirklich alles!

lg
Bitte warten ..
Mitglied: aqui
LÖSUNG 09.12.2019, aktualisiert um 18:31 Uhr
Hat CISCO auch...
So intelligent wirst du doch noch sein das mal selber recherchieren zu können, oder ???
SG-250:
https://www.cisco.com/c/en/us/products/switches/250-series-smart-switche ...
SG250-50 bzw. wenn du PoE benötigst für WLAN APs oder VoIP Telefone das P Model SG250-50P
Analog für den SG-350:
https://www.cisco.com/c/en/us/products/switches/350-series-managed-switc ...
Bitte warten ..
Mitglied: samet22
10.12.2019 um 08:56 Uhr
Hallo Aqui,

Danke erstmals für deine Hilfe.

Ich glaube für mich kommt dann eher der SX550X-24 oder 52 in Frage (10Gb Ports mit Layer 2 und Layer 3 Funktionalität). Hier sehe nur nicht heraus ob dieser ein "vollwertiger" Layer 2 UND Layer 3 Swtich ist, eigentlich brauche ich eh "nur" Routing zwischen VLAN's und ACL's.

Meine aller letzte Frage:

Ich möchte gerne Sonicwall als Firewall weiter verwenden da ich damit am besten zurecht komme. Könnte die Konstellation Layer 2 und Layer 3 Switche von Cisco aber Firewall von Sonicwall zu einer guten Zusammenarbeit führen?

... Ich kann mich noch erinnern als Cisco vor 10 Jahren Probleme mit anderen Switchen hatte was LACP / TRUNK betroffen hat.

Danke!

lg
Bitte warten ..
Mitglied: aqui
10.12.2019 um 13:10 Uhr
Die SG-250X und 350X haben auch 10 GiG Ports. Generell ist bei L3 die 350X oder eben 500X die beste Wahl. 500X ist aber schon ein großes Kaliber. Wenn du 10G nur Uplinks hast ist das nicht unbedingt zwingend.
Hier sehe nur nicht heraus ob dieser ein "vollwertiger" Layer 2 UND Layer 3 Swtich
Komisch...steht hier doch alles schwarz auf weiss:
https://www.cisco.com/c/dam/en/us/products/collateral/switches/350-serie ...
Könnte die Konstellation Layer 2 und Layer 3 Switche von Cisco aber Firewall von Sonicwall zu einer guten Zusammenarbeit führen?
Ja, das ist millionenfacher Standard in Netzwerken !
Nimm nur mal das simple Beispiel Gast WLAN. Das routet man niemals über einen L3 Switch aus gutem Grund, sondern schleift rein nur das VLAN im Layer 2 durch und terminiert es dann im L3 auf einer Firewall.
Idealerweise mit einem Captive Portal.
Ich kann mich noch erinnern als Cisco vor 10 Jahren Probleme mit anderen Switchen hatte was LACP / TRUNK betroffen hat.
Das sind bekanntlich keine "Probleme" sondern technisch normal und kennt auch jeder Netzwerker !
Cisco nutzt ein prorietäres Spanning Tree Verfahren. Nennt sich PVSTP+.
Es ist ein Per VLAN Spanning Tree Verfahren was andere Hersteller so auch nutzen aber Cisco verwendet nicht Standard konforme BPDU Mac Adressen im Ethernet dafür.
Einhe andere hersteller wie Ruckus ICX usw. erkennen das selbständig und konfigurieren sich entsprechend automatisch um an solchen Ports.
Die Masse der Billighersteller kann das aber nicht. Diese supporten nicht mal ein Per VLAN Spanning Tree Verfahren und können meist nur das simple Single Spann Verfahren des Massenmarktes.
Da die Spanning Tree Verfahren nicht kompatibel sind kommt es dann zu den von dir benannten "Problemen" im Netz wenn man das nicht beachtet.
Das ist aber ein uralter Hut den nun wirklich jeder Netzwerker seit Jahrzehnten kennt der heterogene Netze mit Cisco betreibt. Da einigt man sich dann auf das MSTP Verfahren was Cisco auch kann.
Guckst du z.B. hier:
https://www.administrator.de/frage/spanning-tree-modus-migration-pvst-ms ...

Aber auch hier kannst du ganz ruhig bleiben !!!
Auf Cisco's SoHo SG Billigschiene gibt es keinerlei PVSTP+ die kennen auch nur Single Span
Passt also...
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Switch ACL-Konfiguration
gelöst Frage von Philipp711Netzwerkmanagement9 Kommentare

Hallo Leute, ich habe eine kleine Frage zur Konfiguration von ACL's auf unserem Switch. Unsere Infrastruktur ist in verschiedene ...

Router & Routing

Verständisfrage Layer 3 Switch - Firewall - VLAN

Frage von praxxzzRouter & Routing4 Kommentare

Hallo zusammen, ich habe einige Fragen zum Thema Netzwerk allgemein. Ich muss zugeben, dass ich bei diesem Thema noch ...

Switche und Hubs

Aruba 5406r Layer 3 Switch - VLan Routing

gelöst Frage von mb1811Switche und Hubs10 Kommentare

Hallo Zusammen! Zwischen den Tagen habe ich ein wenig Zeit um mich im Labor mit dem Aruba 5406r Layer ...

Router & Routing

HP Switch ACL bearbeiten - Netzwerkübernahme

gelöst Frage von banane31Router & Routing

Hallo zusammen, ich habe ein Anliegen bzgl HP Switchen. Es ist ein produktives Firmennetzwerk, wo nur HP Hardware für ...

Neue Wissensbeiträge
Router & Routing

Statische Route dauerhaft einrichten unter Ubuntu 18.04 LTS

Erfahrungsbericht von the-buccaneer vor 2 TagenRouter & Routing2 Kommentare

"Kann ja nicht so schwer sein, unter Ubuntu 18.04 LTS ne statische Route einzurichten", denkt der Windows-Admin und gelegentliche ...

Microsoft

Effect on customer websites and Microsoft services and products in Chrome version 80 or later

Information von Dani vor 2 TagenMicrosoft

Guten Abend zusammen, The Stable release of the Google Chrome web browser (build 80, scheduled for release on February ...

Drucker und Scanner

Kyocera PCL Barcode Flash SD v3.0 Firmware Update installieren

Tipp von Mana vor 4 TagenDrucker und Scanner1 Kommentar

Ich hatte eine vorhandene "PCL Barcode Flash SD v3.0 Type D/E", die bisher in einem Kyocera FS-4200DN verbaut war. ...

Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 9 TagenSicherheit3 Kommentare

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Heiß diskutierte Inhalte
Ausbildung
In den Beruf IT-Systemadministrator gerutscht
Frage von TorwolfAusbildung20 Kommentare

Hallo zusammen, kurz zu meiner Person, ich bin 25 Jahre alt, habe die Fachhochschulreife und eine abgeschlossene Ausbildung als ...

Outlook & Mail
Mehrere Domänen User, selber PC, großer IMAP Account, Vorgehen?
Frage von heifumaOutlook & Mail20 Kommentare

Moin, Szenario: - Windows Server 2019 AD - Ein und derselbe PC im Netzwerk soll im Laufe der Arbeitswoche ...

Windows Server
DFS Zurgriff über Domain Steuerung
Frage von opc123Windows Server18 Kommentare

Hallo, wenn ich Freigegebene Ordner über \\"Domaine.de"\Datei aufrufen möchte innerhalb des DFS Pfades, habe ich oft kurzer Zeit kein ...

Windows 10
"System" verwendet Hosts-Datei
Frage von ankauf71Windows 1014 Kommentare

Hallo zusammen! Nachdem ich heute erfolglos versucht habe die Hosts-Datei zu ändern stellte ich fest das diese von einem ...