4
Netztrennung Clients per VLAN Server,Backup extra Switch?
Guten Morgen,
wir Strukturieren bei uns etwas um. Sprich alte Hardware und ein Netz ( 10.0.4.0/23 ) sollen weichen.
Die Planung wäre aktuell eine Netzsegmentierung zu machen.
Die Trennung war angedacht einmal Client Netz und einmal Server/Backup Netz. Oder doch alles über ein LAG und die Server auch in ein VLAN?
VLAN Netz:
Firewall 2x SFP+ 10G LAG -> Switch 10G LAG -> InHouse Switche -> Clients , Drucker, Zeit Terminals ,APs usw. Das alles in VLANs getrennt. Das Routing übernimmt die Sophos XGS 3100.
Server/Backup Netz:
Firewall 2x SFP+ 10G LAG -> Switch 10G LAG ->Server/BackupNAS alles per 10G LAG angebunden.
Meine Frage dazu ist macht es sinn die Netze so Physisch an der Firewall zu Trennen oder alles über ein LAG Laufen zulassen . Das heißt der ganze Traffic von den Servern und Backup Traffic über VLANs und der Firewall Routen?
Ausgelegt ist die XGS 3100 mit 47Gbit Durchsatz.
wir Strukturieren bei uns etwas um. Sprich alte Hardware und ein Netz ( 10.0.4.0/23 ) sollen weichen.
Die Planung wäre aktuell eine Netzsegmentierung zu machen.
Die Trennung war angedacht einmal Client Netz und einmal Server/Backup Netz. Oder doch alles über ein LAG und die Server auch in ein VLAN?
VLAN Netz:
Firewall 2x SFP+ 10G LAG -> Switch 10G LAG -> InHouse Switche -> Clients , Drucker, Zeit Terminals ,APs usw. Das alles in VLANs getrennt. Das Routing übernimmt die Sophos XGS 3100.
Server/Backup Netz:
Firewall 2x SFP+ 10G LAG -> Switch 10G LAG ->Server/BackupNAS alles per 10G LAG angebunden.
Meine Frage dazu ist macht es sinn die Netze so Physisch an der Firewall zu Trennen oder alles über ein LAG Laufen zulassen . Das heißt der ganze Traffic von den Servern und Backup Traffic über VLANs und der Firewall Routen?
Ausgelegt ist die XGS 3100 mit 47Gbit Durchsatz.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670526
Url: https://administrator.de/forum/netztrennung-clients-per-vlan-server-backup-extra-switch-670526.html
Ausgedruckt am: 08.01.2025 um 11:01 Uhr
4 Kommentare
Neuester Kommentar
Die Suchfunktion... 
Diese Diskussion hatten wir kürzlich.
Vlans über Trunk oder besser auf physische Ports aufteilen?
Alternative wäre noch die Netze wirespeed über einen L3 Switch im Core zu routen und rein nur die Sicherheits relevanten Netze über die externe Firewall zu schicken also quasi ein hybrides Konzept wie es auch oft umgesetzt wird.
Das ist aber letztlich immer von einer entsprechenden Sicherheits Policy und ggf. relevanten Performance Anforderungen usw. abhängig zu denen du leider keine Angaben machst. Ein LACP LAG auf zwei Switches sollte bei einem externen L3 Konzept aber allein schon aus Redundanz Gründen IMMER Pflicht sein um einen Single Poit of Failure zu vermeiden der das ganze Netz zum Stillstand bringen kann.
Diese Diskussion hatten wir kürzlich.Vlans über Trunk oder besser auf physische Ports aufteilen?
Alternative wäre noch die Netze wirespeed über einen L3 Switch im Core zu routen und rein nur die Sicherheits relevanten Netze über die externe Firewall zu schicken also quasi ein hybrides Konzept wie es auch oft umgesetzt wird.
Das ist aber letztlich immer von einer entsprechenden Sicherheits Policy und ggf. relevanten Performance Anforderungen usw. abhängig zu denen du leider keine Angaben machst. Ein LACP LAG auf zwei Switches sollte bei einem externen L3 Konzept aber allein schon aus Redundanz Gründen IMMER Pflicht sein um einen Single Poit of Failure zu vermeiden der das ganze Netz zum Stillstand bringen kann.
Noch als Anmerkung. Sicherheitstechnisch solltest du (je nach Durchsatz) alles über die Firewall jagen und die Server in eigene, kleine VLANS legen (Mikrosegmentierung). Wenn Ihr den Aufwand eh schon betreibt
1
Zwingend ist das aber nicht, denn die Sicherheit kann er ja auch mit einem L3 Switch und ACLs herstellen. Die Kardinalsfrage ist eben was seine Sicherheitspolicy dazu sagt? Genau deshalb kann man diese Frage nicht zielführend beantworten, weil man sämtliche Rahmenbedingungen von denen ein dazu passendes Netzdesign abhängt leider nicht kennt. 
Deswegen nur als Anmerkung. Klar die Frage bezog sich ja auf den Uplink.
