1
Port Isolation am Trunk für AP
Hallo,
folgendes Scenario. Kleiner Hotelbetrieb hat 3 VLANs (10 Gast; 20 Privat 1; 30 Privat 2) eingerichtet. Im Einsatz sind Zyxel Switch (L2), Zyxel Gateway und diverse Zyxel Multi SSID APs. Das Gast WLAN ist durch eine L2 Isolation (Ich glaube ein Eigenname von Zyxel) gesichert, sodass nur Traffic zum WAN Port möglich ist und der Traffic innerhalb des Switches oder des Gateways unterbunden wird.
Nun möchte ich die in den Zimmern liegenden Netzwerkanschlüsse auch freigeben (sind derzeit nicht gepatcht) und sichern. Dazu habe ich an den Access Ports im Switch die Port Isolation aktiviert, sodass diese auch direkt zum Gateway führen, damit auch hier der Traffic innerhalb des Switchs unterbunden wird. Am Gateway habe ich entsprechende Firewall Regeln definiert, dass die Kommunikation untereinander auch hier unterbunden wird
Ich frage mich jetzt, ob es sinn macht, die Port Isolation auch an den Trunk Ports für die Access Points zu aktivieren. Sollte mal jemand auf die Idee kommen, das Kabel des AP zu missbrauchen und somit ins Default VLAN kommt. Jetzt habe ich nur eine Verständnisfrage, die ich nicht so ganz in den Kopf bekomme.
Der Port wäre ja gesichert, wenn man das Kabel benutzt. Findet der Traffic der anderen SSIDs, die nicht unter die o. a. L2 Isolation fallen, durch die Port Isolation trotzdem im Switch oder im Router statt wenn diese durch die SSIDs schon ins VLAN 20 oder 30 gehen? Die beiden VLANs sollen ja auf "normale" weise miteinander kommunizieren.
Danke und Gruß
folgendes Scenario. Kleiner Hotelbetrieb hat 3 VLANs (10 Gast; 20 Privat 1; 30 Privat 2) eingerichtet. Im Einsatz sind Zyxel Switch (L2), Zyxel Gateway und diverse Zyxel Multi SSID APs. Das Gast WLAN ist durch eine L2 Isolation (Ich glaube ein Eigenname von Zyxel) gesichert, sodass nur Traffic zum WAN Port möglich ist und der Traffic innerhalb des Switches oder des Gateways unterbunden wird.
Nun möchte ich die in den Zimmern liegenden Netzwerkanschlüsse auch freigeben (sind derzeit nicht gepatcht) und sichern. Dazu habe ich an den Access Ports im Switch die Port Isolation aktiviert, sodass diese auch direkt zum Gateway führen, damit auch hier der Traffic innerhalb des Switchs unterbunden wird. Am Gateway habe ich entsprechende Firewall Regeln definiert, dass die Kommunikation untereinander auch hier unterbunden wird
Ich frage mich jetzt, ob es sinn macht, die Port Isolation auch an den Trunk Ports für die Access Points zu aktivieren. Sollte mal jemand auf die Idee kommen, das Kabel des AP zu missbrauchen und somit ins Default VLAN kommt. Jetzt habe ich nur eine Verständnisfrage, die ich nicht so ganz in den Kopf bekomme.
Der Port wäre ja gesichert, wenn man das Kabel benutzt. Findet der Traffic der anderen SSIDs, die nicht unter die o. a. L2 Isolation fallen, durch die Port Isolation trotzdem im Switch oder im Router statt wenn diese durch die SSIDs schon ins VLAN 20 oder 30 gehen? Die beiden VLANs sollen ja auf "normale" weise miteinander kommunizieren.
Danke und Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 607296
Url: https://administrator.de/contentid/607296
Printed on: April 19, 2024 at 17:04 o'clock
1 Comment
Die Traffic Isolation oder auch Private VLAN Funktion forwardet ARP Pakete ausschliesslich nur an die (tagged) Uplink Ports zum Gateway die du ja auch im Setup fest definierst. Ein grundsätzliche IP Kommunikation ist also dann nur mit diesen Ports möglich nicht mit den anderen Ports.
Das bewirkt das es technisch nie zu einer Client zu Client Kommunikation kommen kann auf den RJ-45 Ports was ja sicher von dir in einem Hotel auch gewollt ist damit nicht der eine Gast den anderen hacken kann. Eine sehr sinnvolle Funktion also für ein Hotel.
Gleiche gilt übrigens zwingend auch für das WLAN !! Dort MUSS auch Im Wireless Setup der MSSID die Client Isolation aktiviert sein das auch die WLAN Clients am gleichen AP sich direkt niemals "sehen" können.
Soviel zur Theorie...
Auf einem Zimmerport kann also niemals eine Verbindung zu einem anderen Gast egal in welchem VLAN hergestellt werden. Gleiches gilt für das WLAN. Auch eine Verbindung vom WLAN zu einem Kabelgerät innerhalb eines Gast Zimmers ist damit unmöglich. Es geht nur in Richtung Gateway/Router/Firewall, was ja auch genau gewollt ist. Kein Client any zu any.
Fürs ARP sind also nur die Gateway Ports offen und auch nur dort würdest du Zugang bekommen. Da diese sich aber im gesicherten RZ Raum befinden (in der Regel) ist das ja schon rein technsich für Gäste unmöglich.
Die Layer 3 Kommunikation der VLANs 20 und 30 regelst du ja mit IP Accesslisten oder Firewall Regeln je nachdem was du da als Gateway betreibst.
Fazit: Alles richtig gemacht.
Das bewirkt das es technisch nie zu einer Client zu Client Kommunikation kommen kann auf den RJ-45 Ports was ja sicher von dir in einem Hotel auch gewollt ist damit nicht der eine Gast den anderen hacken kann. Eine sehr sinnvolle Funktion also für ein Hotel.
Gleiche gilt übrigens zwingend auch für das WLAN !! Dort MUSS auch Im Wireless Setup der MSSID die Client Isolation aktiviert sein das auch die WLAN Clients am gleichen AP sich direkt niemals "sehen" können.
Soviel zur Theorie...
Auf einem Zimmerport kann also niemals eine Verbindung zu einem anderen Gast egal in welchem VLAN hergestellt werden. Gleiches gilt für das WLAN. Auch eine Verbindung vom WLAN zu einem Kabelgerät innerhalb eines Gast Zimmers ist damit unmöglich. Es geht nur in Richtung Gateway/Router/Firewall, was ja auch genau gewollt ist. Kein Client any zu any.
Fürs ARP sind also nur die Gateway Ports offen und auch nur dort würdest du Zugang bekommen. Da diese sich aber im gesicherten RZ Raum befinden (in der Regel) ist das ja schon rein technsich für Gäste unmöglich.
Die Layer 3 Kommunikation der VLANs 20 und 30 regelst du ja mit IP Accesslisten oder Firewall Regeln je nachdem was du da als Gateway betreibst.
Fazit: Alles richtig gemacht.
