stephan902
Goto Top

Management VLAN - tagged oder untagged, VLAN-Hopping

Hallo,

bei mir ist das Management VLAN von den anderen VLANs aus nicht erreichbar.

Allerdings ist bei mir das Management VLAN zwischen den Geräten, z.B. Router, Switches und APs das untagged VLAN. Bei den APs von UBNT ist das auch gar nicht anders möglich, da diese keine Möglichkeit bieten die Management IP in ein tagged VLAN zu legen. Außerdem hat das Management VLAN die ID 1.

Das Default-VLAN an den Switches ist jedoch nicht 1, sondern ein anderes VLAN, das keinen Zugriff auf das Management VLAN besitzt.

Meine Frage ist: Verliere ich, insbesondere unter Berücksichtigung von VLAN-Hopping, an Sicherheit, weil das Management VLAN gleichzeitig das untagged VLAN ist?

Sollte also z.B. das untagged VLAN zwischen Router und Switch irgendein anderes als das Management VLAN sein und das Management VLAN tagged übertragen werden. Dementsprechend müsste dann am Switch die Management VLAN ID gesetzt werden.

Content-ID: 345851

Url: https://administrator.de/contentid/345851

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

stephan902
stephan902 09.08.2017 um 21:10:25 Uhr
Goto Top
Wenn ich das selbst richtig verstehe, wäre es nur gefährlich, wenn z.B. das Guest VLAN, oder irgendein anderes VLAN, an das neue Geräte angeschlossen werden können, untagged zwischen den Switches, etc. übertragend würde oder?
ashnod
ashnod 10.08.2017 um 07:47:59 Uhr
Goto Top
Zitat von @stephan902:
Meine Frage ist: Verliere ich, insbesondere unter Berücksichtigung von VLAN-Hopping, an Sicherheit, weil das Management VLAN gleichzeitig das untagged VLAN ist?


Ahoi ....
schau mal hier ... wird an der Stelle recht gut erklärt und enthält auch praktische Beispiele

https://en.wikipedia.org/wiki/VLAN_hopping

VG
Ashnod
aqui
aqui 10.08.2017 aktualisiert um 10:40:40 Uhr
Goto Top
Letztlich ist es ja auch keine Frage ob das VLAN tagged oder untagged übertragen wird sondern einzig und allein wie dieses Management VLAN gesichert ist. Laut deiner Beschreibung ist es das ja auch entsprechend.
Generell ist es immer eine gute Idee den Management Zugriff vom Produktivnetz zu trennen. Per se hast du also alles richtig gemacht.
Erstmal ist es natürlich ein Nachteil das Ubiquity die Management IP nicht wie alle anderen auch in ein existentes VLAN legen kann aber auch wenn dem so ist bedeutet das für dich ja keinerlei Einschränkung.
Du kannst ja immer an diesenSwitch Ports wo Ubiquity Devices angeschlossen sind das native VLAN oder die PVID auf die Management VLAN ID legen an diesem Switchport.
Damit forwardet der Switch dann an diesen Ports alle untagged Pakete wieder in dein dediziertes Management VLAN und alles ist gut.
Ein wirkliches Problem ist das nicht, ggf. geringfügig mehr Konfig Aufwand aber mehr auch nicht.