gelöst Port Isolation am Trunk für AP

Mitglied: sturmtide

sturmtide (Level 1) - Jetzt verbinden

24.09.2020 um 16:59 Uhr, 285 Aufrufe, 1 Kommentar

Hallo,

folgendes Scenario. Kleiner Hotelbetrieb hat 3 VLANs (10 Gast; 20 Privat 1; 30 Privat 2) eingerichtet. Im Einsatz sind Zyxel Switch (L2), Zyxel Gateway und diverse Zyxel Multi SSID APs. Das Gast WLAN ist durch eine L2 Isolation (Ich glaube ein Eigenname von Zyxel) gesichert, sodass nur Traffic zum WAN Port möglich ist und der Traffic innerhalb des Switches oder des Gateways unterbunden wird.

Nun möchte ich die in den Zimmern liegenden Netzwerkanschlüsse auch freigeben (sind derzeit nicht gepatcht) und sichern. Dazu habe ich an den Access Ports im Switch die Port Isolation aktiviert, sodass diese auch direkt zum Gateway führen, damit auch hier der Traffic innerhalb des Switchs unterbunden wird. Am Gateway habe ich entsprechende Firewall Regeln definiert, dass die Kommunikation untereinander auch hier unterbunden wird

Ich frage mich jetzt, ob es sinn macht, die Port Isolation auch an den Trunk Ports für die Access Points zu aktivieren. Sollte mal jemand auf die Idee kommen, das Kabel des AP zu missbrauchen und somit ins Default VLAN kommt. Jetzt habe ich nur eine Verständnisfrage, die ich nicht so ganz in den Kopf bekomme.

Der Port wäre ja gesichert, wenn man das Kabel benutzt. Findet der Traffic der anderen SSIDs, die nicht unter die o. a. L2 Isolation fallen, durch die Port Isolation trotzdem im Switch oder im Router statt wenn diese durch die SSIDs schon ins VLAN 20 oder 30 gehen? Die beiden VLANs sollen ja auf "normale" weise miteinander kommunizieren.

Danke und Gruß
Mitglied: aqui
24.09.2020, aktualisiert um 18:04 Uhr
Die Traffic Isolation oder auch Private VLAN Funktion forwardet ARP Pakete ausschliesslich nur an die (tagged) Uplink Ports zum Gateway die du ja auch im Setup fest definierst. Ein grundsätzliche IP Kommunikation ist also dann nur mit diesen Ports möglich nicht mit den anderen Ports.
Das bewirkt das es technisch nie zu einer Client zu Client Kommunikation kommen kann auf den RJ-45 Ports was ja sicher von dir in einem Hotel auch gewollt ist damit nicht der eine Gast den anderen hacken kann. Eine sehr sinnvolle Funktion also für ein Hotel.
Gleiche gilt übrigens zwingend auch für das WLAN !! Dort MUSS auch Im Wireless Setup der MSSID die Client Isolation aktiviert sein das auch die WLAN Clients am gleichen AP sich direkt niemals "sehen" können.
Soviel zur Theorie...
Auf einem Zimmerport kann also niemals eine Verbindung zu einem anderen Gast egal in welchem VLAN hergestellt werden. Gleiches gilt für das WLAN. Auch eine Verbindung vom WLAN zu einem Kabelgerät innerhalb eines Gast Zimmers ist damit unmöglich. Es geht nur in Richtung Gateway/Router/Firewall, was ja auch genau gewollt ist. Kein Client any zu any.
Fürs ARP sind also nur die Gateway Ports offen und auch nur dort würdest du Zugang bekommen. Da diese sich aber im gesicherten RZ Raum befinden (in der Regel) ist das ja schon rein technsich für Gäste unmöglich.
Die Layer 3 Kommunikation der VLANs 20 und 30 regelst du ja mit IP Accesslisten oder Firewall Regeln je nachdem was du da als Gateway betreibst.
Fazit: Alles richtig gemacht.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliQuestionWindows Server26 Comments

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01QuestionExchange Server12 Comments

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

LAN, WAN, Wireless
Spanning Tree Probleme
solved predator66QuestionLAN, WAN, Wireless12 Comments

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Peripherals
Kaufberatung 32" Monitor mit WQHD Auflösung
solved GrueneSosseMitSpeckQuestionPeripherals10 Comments

Ich wollt mir einen 32" Monitor als 16:9 zulegen, 2560x1440 Pixel (WQHD). muß kein Ultrawide mit 21:9 und curved ...

Notebook & Accessories
Business Support HP, Dell, Lenovo etc
fuzzyLogicQuestionNotebook & Accessories10 Comments

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Security
Unbefugtes Öffnen zählt nicht als Einbruch
certifiedit.netTickerSecurity9 Comments

Moin, wenn wir das auf die IT übertragen dürfte kaum ein Einbruch etc unter Einbruch zu definieren sein, immerhin ...

Ähnliche Inhalte
LAN, WAN, Wireless
Port Isolation auf Ubiquiti Switch
fdh71gFrageLAN, WAN, Wireless2 Kommentare

Hallo zusammen Ich kann auf den Ubiquiti Switchen auf den einzelnen Ports die "Port Isolation" einschalten. Kann mir jemand ...

Netzwerkmanagement
Cisco Switch Port Trunk
gelöst Finchen961988FrageNetzwerkmanagement8 Kommentare

Hallo liebes Forum, ich habe oder ich bin aus Zufall über ein Cisco 3750G 24POrt gestolpert und habe mir ...

Netzwerkmanagement

Packetfence - Port als Trunk konfigurieren

maretzFrageNetzwerkmanagement7 Kommentare

Moin, mal eine Frage an die Experten hier. Ich plane die Installation von nem Packetfence-System. Jetzt habe ich auf ...

Firewall

Layer 2 Isolation Client Isolation

gelöst dauatitsbestFrageFirewall9 Kommentare

Hi Leute, habe hier ein nettes Mikrotik Routerboard. Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 ...

Switche und Hubs

Port von Trunk auf Access umwandeln

gelöst newit1FrageSwitche und Hubs3 Kommentare

Hallo zusammen, ich versuche gerade einen Cisco Switch zu konfigurieren. Hierbei ist dezeit der Port 43 TRUNK und auf ...

Windows Server

Printserver Driver Isolation

gelöst AlysinFrageWindows Server2 Kommentare

Hallo zusammen Da ich im Netz nichts gefunden habe stelle ich meine Frage mal hier. Umgebung: Windows Server 2008 ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT