fnbalu
Goto Top

Netzwerk besser absichern Cisco-SG300 VLAN

Hallo

Mir wurde vor einiger Zeit mal geraten mein Netz etwas besser abzusichern und Switche etc in ein Verwaltungsnetz zu packen.

Dieses Thema möchte ich jetzt langsam angehen.


Ist Zustand.
Eine pfsense welche Das Standard Vlan 1 im Heimnetz 192.168.1.0/24bereitstellt.
Des weiteren Vlan 10 Friend 192.168.10.0/24 und Vlan 20 Guest 192.168.20.0/24
Das 30er ist ohne Belang, da es wie Vlan 10 funktioniert, jedoch auf Unifi APs nur in bestimmten Standorten aktiviert ist.
Vlan 20 hat ein Captive Portal.


Bisher laufen die Switche und Mikrotik SXT Brücken etc alles im Standard Vlan 1
Dies ist bekanntlich nicht optimal wegen dem Broadcast etc.

Teilweise hängen direkt am SXT AccessPoints von Ubiquiti, welche anhand der SSIDs die Vlans taggen.
Worst Case wäre, wenn jemand das Kabel vom SXT abzieht und an ein Laptop etc hängt, dann wäre er direkt im Heimnetz.


Das soll sich jetzt ändern.


Bei meinen Cisco SG300 Switchen kann ich das Switch selber in ein Verwaltungs Vlan setzen. Das ist soweit in Ordnung und wird auch umgesetzt.
Die Switche kann man beim Start ein Standard Vlan vorgeben. Aktuell ist es 1.
Ist es möglich an einer entfernten Stelle beispielsweise Vlan 20 Guest als Standard zu definieren und dies auch beim SXT?

Falls dann doch mal jemand herumfingert, würde er nur erstmal ins Gastnetz gelangen.

Des weiteren möchte ich demnächst alles auf Ubiquiti umstellen.
Es ist geplant auf nanoBeams zu setzen.
Die Frage ist, ist es damit wie bei den Ciscos möglich, dass vorerst nur Vlan 20 anliegt, der Rest getagged wird?

Content-ID: 464349

Url: https://administrator.de/forum/netzwerk-besser-absichern-cisco-sg300-vlan-464349.html

Ausgedruckt am: 26.12.2024 um 21:12 Uhr

aqui
aqui 21.06.2019 aktualisiert um 15:43:20 Uhr
Goto Top
Dies ist bekanntlich nicht optimal wegen dem Broadcast etc.
Autsch ! Der Dativ ist dem Genitiv sein Tod ! (nach "wegen" steht immer der Genitiv)
Aber abgesehen davon ist das in der Tat sehr suboptimal. Gerate in Bezug auf die SXTs, die man niemals im Bridge Mode betreiben sollte sondern immer geroutet wenn man darüber 2 Netze verbindet. Aber der Reihe nach...
Des weiteren Vlan 10 Friend 192.168.10.0/24 und Vlan 20 Guest 192.168.20.0/24
Wie ist das zu verstehen ? Terminierst du den 802.1q VLAN Trunk auf der Firewall wie HIER beschrieben ist. Da müssen wir leider jetzt rumraten ! face-sad
Die Switche kann man beim Start ein Standard Vlan vorgeben.
Falsch ! Die Switches geben sich SELBER beim Start das default VLAN 1. Jedenfalls in der default Konfig. Das ist ein weltweiter Quasi Standard, denn alle Hersteller machen das so. Eine Binsenweiseheit die man in einem Administrator Forum nicht extra hervorheben muss aber heute ist ja Freitag face-wink
Zu deinen Fragen:
Vlan 20 Guest als Standard zu definieren
Ja, das geht. Das musst du aber im Setup entsprechend einstellen für die Ports.
dass vorerst nur Vlan 20 anliegt, der Rest getagged wird?
Das müsste jemand beantworten der Ubiquity einsetzt. Der große Nachteil bei UBQT ist das der immer zwingend einen Controller braucht. Andere können das besser, da übernimmt einer der APs selber die Controllfunktion. Die haben das also gleich mit an Bord. Mikrotik, TP-Link und Ruckus z.B.
Bei MT sieht das Übertragen des VLAN Tags über einen WLAN Link dann z.B. so aus:
https://wiki.mikrotik.com/wiki/Manual:Wireless_VLAN_Trunk