Netzwerk besser absichern Cisco-SG300 VLAN
Hallo
Mir wurde vor einiger Zeit mal geraten mein Netz etwas besser abzusichern und Switche etc in ein Verwaltungsnetz zu packen.
Dieses Thema möchte ich jetzt langsam angehen.
Ist Zustand.
Eine pfsense welche Das Standard Vlan 1 im Heimnetz 192.168.1.0/24bereitstellt.
Des weiteren Vlan 10 Friend 192.168.10.0/24 und Vlan 20 Guest 192.168.20.0/24
Das 30er ist ohne Belang, da es wie Vlan 10 funktioniert, jedoch auf Unifi APs nur in bestimmten Standorten aktiviert ist.
Vlan 20 hat ein Captive Portal.
Bisher laufen die Switche und Mikrotik SXT Brücken etc alles im Standard Vlan 1
Dies ist bekanntlich nicht optimal wegen dem Broadcast etc.
Teilweise hängen direkt am SXT AccessPoints von Ubiquiti, welche anhand der SSIDs die Vlans taggen.
Worst Case wäre, wenn jemand das Kabel vom SXT abzieht und an ein Laptop etc hängt, dann wäre er direkt im Heimnetz.
Das soll sich jetzt ändern.
Bei meinen Cisco SG300 Switchen kann ich das Switch selber in ein Verwaltungs Vlan setzen. Das ist soweit in Ordnung und wird auch umgesetzt.
Die Switche kann man beim Start ein Standard Vlan vorgeben. Aktuell ist es 1.
Ist es möglich an einer entfernten Stelle beispielsweise Vlan 20 Guest als Standard zu definieren und dies auch beim SXT?
Falls dann doch mal jemand herumfingert, würde er nur erstmal ins Gastnetz gelangen.
Des weiteren möchte ich demnächst alles auf Ubiquiti umstellen.
Es ist geplant auf nanoBeams zu setzen.
Die Frage ist, ist es damit wie bei den Ciscos möglich, dass vorerst nur Vlan 20 anliegt, der Rest getagged wird?
Mir wurde vor einiger Zeit mal geraten mein Netz etwas besser abzusichern und Switche etc in ein Verwaltungsnetz zu packen.
Dieses Thema möchte ich jetzt langsam angehen.
Ist Zustand.
Eine pfsense welche Das Standard Vlan 1 im Heimnetz 192.168.1.0/24bereitstellt.
Des weiteren Vlan 10 Friend 192.168.10.0/24 und Vlan 20 Guest 192.168.20.0/24
Das 30er ist ohne Belang, da es wie Vlan 10 funktioniert, jedoch auf Unifi APs nur in bestimmten Standorten aktiviert ist.
Vlan 20 hat ein Captive Portal.
Bisher laufen die Switche und Mikrotik SXT Brücken etc alles im Standard Vlan 1
Dies ist bekanntlich nicht optimal wegen dem Broadcast etc.
Teilweise hängen direkt am SXT AccessPoints von Ubiquiti, welche anhand der SSIDs die Vlans taggen.
Worst Case wäre, wenn jemand das Kabel vom SXT abzieht und an ein Laptop etc hängt, dann wäre er direkt im Heimnetz.
Das soll sich jetzt ändern.
Bei meinen Cisco SG300 Switchen kann ich das Switch selber in ein Verwaltungs Vlan setzen. Das ist soweit in Ordnung und wird auch umgesetzt.
Die Switche kann man beim Start ein Standard Vlan vorgeben. Aktuell ist es 1.
Ist es möglich an einer entfernten Stelle beispielsweise Vlan 20 Guest als Standard zu definieren und dies auch beim SXT?
Falls dann doch mal jemand herumfingert, würde er nur erstmal ins Gastnetz gelangen.
Des weiteren möchte ich demnächst alles auf Ubiquiti umstellen.
Es ist geplant auf nanoBeams zu setzen.
Die Frage ist, ist es damit wie bei den Ciscos möglich, dass vorerst nur Vlan 20 anliegt, der Rest getagged wird?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 464349
Url: https://administrator.de/forum/netzwerk-besser-absichern-cisco-sg300-vlan-464349.html
Ausgedruckt am: 26.12.2024 um 21:12 Uhr
1 Kommentar
Dies ist bekanntlich nicht optimal wegen dem Broadcast etc.
Autsch ! Der Dativ ist dem Genitiv sein Tod ! (nach "wegen" steht immer der Genitiv)Aber abgesehen davon ist das in der Tat sehr suboptimal. Gerate in Bezug auf die SXTs, die man niemals im Bridge Mode betreiben sollte sondern immer geroutet wenn man darüber 2 Netze verbindet. Aber der Reihe nach...
Des weiteren Vlan 10 Friend 192.168.10.0/24 und Vlan 20 Guest 192.168.20.0/24
Wie ist das zu verstehen ? Terminierst du den 802.1q VLAN Trunk auf der Firewall wie HIER beschrieben ist. Da müssen wir leider jetzt rumraten ! Die Switche kann man beim Start ein Standard Vlan vorgeben.
Falsch ! Die Switches geben sich SELBER beim Start das default VLAN 1. Jedenfalls in der default Konfig. Das ist ein weltweiter Quasi Standard, denn alle Hersteller machen das so. Eine Binsenweiseheit die man in einem Administrator Forum nicht extra hervorheben muss aber heute ist ja Freitag Zu deinen Fragen:
Vlan 20 Guest als Standard zu definieren
Ja, das geht. Das musst du aber im Setup entsprechend einstellen für die Ports.dass vorerst nur Vlan 20 anliegt, der Rest getagged wird?
Das müsste jemand beantworten der Ubiquity einsetzt. Der große Nachteil bei UBQT ist das der immer zwingend einen Controller braucht. Andere können das besser, da übernimmt einer der APs selber die Controllfunktion. Die haben das also gleich mit an Bord. Mikrotik, TP-Link und Ruckus z.B.Bei MT sieht das Übertragen des VLAN Tags über einen WLAN Link dann z.B. so aus:
https://wiki.mikrotik.com/wiki/Manual:Wireless_VLAN_Trunk