a.posch
Goto Top

Regelbasiertes Routing mit Switch möglich?

Hallo, gibt es auch Switche, wo man wie bei einem Router genau definieren kann, welches Endgerät wohin darf über welchen Port und IP/Mac Adresse?

Also im Beispiel des angehangenen Bildes: es gibt mehrere VLANs die über einfache Layer2 Switche portbasiert zugewiesen werden (Abteilungen). Es gibt einen Server (192.168.1.1) welcher im VLAN1 hängt worauf die PCs die ebenfalls im VLAN1 sind logischerweise so schon zugriff haben.

Jetzt möchte ich aber z.B. mit dem PC im VLAN2 dessen IP Adresse die 192.168.2.2 ist, ebenfalls auf die 192.168.1.1 zugreifen, aber nur auf port 9443 TCP. Da der Router auch als Gateway für alle VLANs dient kann ich das im Router wunderbar eintragen dass dieser eine PC auf den Server kommt - funktioniert auch wunderbar.
Oder der PC im VLAN4 (192.168.4.2) darf auf eine Ordnerfreigabe auf den PC im VLAN3 (192.168.3.2) zugreifen, also SMB Port 445 TCP - auch das kann man über den Router machen und funktioniert.

Aber damit geht der Datenstrom erstmal durch den 10G Main Switch, der schickt es weiter zum Router, der Router schickt es zurück an den Main Switch und von da an in das entsprechende Netzwerk.

Irgendwann hat man soviele Routen im Router eingetragen dass ich mir vorstellen könnte, dass die Anbindung und auch die Routingleistung des Routers das nicht mehr schafft - das sieht in meinen Augen nicht so richtig aus das konstrukt.
Schöner wäre es, wenn der Main Switch dieses Regelbasierte Routing übernehmen kann.

Die Frage ist jetzt: Gibt es solche Switche, wenn ja worauf muss ich da achten um diese zu finden, oder habt ihr da ggf. Empfehlungen für ein starken 10G Switch ? Einfache layer3 Switche wie ein Cisco SG350 scheint nur ganze VLANs miteinander zu verbinden - das will ich aber nicht. Es geht hier ums Granulare definieren wer wohin zugreifen darf...
routing netzwerk.

Content-Key: 7978885049

Url: https://administrator.de/contentid/7978885049

Printed on: July 19, 2024 at 17:07 o'clock

Member: Spirit-of-Eli
Spirit-of-Eli Jul 28, 2023 updated at 09:01:52 (UTC)
Goto Top
Moin,

ja, solche Switche gibt es.
Eine Lösung wäre z.B. Aruba Pensando:
https://www.arubanetworks.com/products/switches/core-and-data-center/100 ...

Ich denke, dass kommt bei dir dann in Frage wenn die Kosten egal sind.
Mach das ganze lieber über eine Firewall als Gateway.

Gruß
Spirit
Member: A.Posch
A.Posch Jul 28, 2023 at 09:07:01 (UTC)
Goto Top
naja ganz egal sind die Kosten nicht :D Aber die Firewall/Router ist mit nur 1x 10G SFP+ DAC Kabel mit dem Mainswitch verbunden, ich hab bedenken dass es da schnell zum flaschenhals wird, wenn insgesammt so ca. 300 maschinen miteinander kommunizieren wollen (manche von denen schieben auch mal mehrere GB an Projekten durchs netzwerk). Ich könnte noch ein LACP LAG einrichten, aber ob es das besser macht...denke mal so eine Firewall ist jetzt auch nicht so performant...
Member: Spirit-of-Eli
Spirit-of-Eli Jul 28, 2023 at 09:15:54 (UTC)
Goto Top
Keine Ahnung was du für eine FW hast, dazu schreibst du ja nicht. Eine FW Lösung auf einem Switch abzubilden ist aber in Summer wohl teurer als die FW potent auszustatten.

Was für eine IPS/IDS Bandbreiten Kapazität liefert denn deine unbekannte FW?
Ich würde die FW so oder so per LACP Trunk anbinden. Alleine schon die Session Aufteilung macht sind.
Wie groß ist denn die genutzte overall Bandbreite?
Member: em-pie
em-pie Jul 28, 2023 at 09:22:19 (UTC)
Goto Top
Moin,

solange dein CoreSwitch nur im L2 arbeitet, wirst du keine Chance haben. Ansonsten müsste dein Core routen. Dann kannst du IMHO mit ACLs arbeiten...
Member: aqui
aqui Jul 28, 2023 updated at 09:30:52 (UTC)
Goto Top
gibt es auch Switche, wo man wie bei einem Router genau definieren kann
Ja gibt es natürlich. So gut wie jeder, auch einfache Consumer Modelle, supporten IP und auch Mac Accesslisten mit denen eine solche Steuerung problemlos möglich ist. Die funktionieren auch im reinen Layer 2 Mode.
Z.B. hier bei einfachen Cisco Consumer Switches der SG und CBS Serie:
acl
Beachten muss man nur das diese Accesslitsen nicht stateful sind. Man muss sie also für den Hin und Rückweg definieren sofern man IP Segment übergreifend routet.
Einfache layer3 Switche wie ein Cisco SG350 scheint nur ganze VLANs miteinander zu verbinden
Das ist natürlich völliger Quatsch und weisst du als Netzwerk Admin auch selber. WER mit WAS verbunden werden darf definierst ja DU mit deinem ACL Regelwerk aber niemals der Switch! Vergiss diesen Unsinn also...!
Member: Spirit-of-Eli
Spirit-of-Eli Jul 28, 2023 updated at 09:41:53 (UTC)
Goto Top
Zitat von @em-pie:

Moin,

solange dein CoreSwitch nur im L2 arbeitet, wirst du keine Chance haben. Ansonsten müsste dein Core routen. Dann kannst du IMHO mit ACLs arbeiten...

Das ist alles richtig. Allerdings wird er keine Policys wie bei einer Firewall damit realisieren können.

Achja, spätestens bei Rules auf Port basis funktioniert das leider nicht mehr.
Member: A.Posch
A.Posch Jul 28, 2023 at 11:17:30 (UTC)
Goto Top
@aqui filtert diese ACL liste nicht nur stumpf nach Protokollen aber eben nicht nach bestimmten Ports (z.B. 9443, oder 25001) ? genau das suche ich halt, und das ganze eben als Stateful.

FW ist momentan noch eine Securepoint RC350R
https://www.securepoint.de/fileadmin/securepoint/downloads/utm/datenblat ...
macht wohl um die 20Gbit/s Firewalldurchsatz, das ding kann aber scheinbar kein LACP -.-
Member: em-pie
em-pie Jul 28, 2023 at 11:35:49 (UTC)
Goto Top
@Spirit-of-Eli
Achja, spätestens bei Rules auf Port basis funktioniert das leider nicht mehr.
Hast recht. Hatte die konkreten Ports hinten runterfallen lassen. Da kommt er um Layer4 nicht herum
Member: aqui
Solution aqui Jul 28, 2023 updated at 12:06:26 (UTC)
Goto Top
filtert diese ACL liste nicht nur stumpf nach Protokollen aber eben nicht nach bestimmten Ports
Nein, das ist natürlich Unsinn und gilt für alle Switches die IP ACLs supporten!
Wenn du als Protokoll TCP oder UDP wählst kannst du natürlich auch immer Ports bzw. Dienste wählen inkl. der Flags bei TCP. Sogar andere Protokolltypen wie ICMP, ESP usw. lassen sich wählen.
Sowas weiss man aber eigentlich auch als Netzwerk Admin! 🧐
Ein Bild sagt mehr als 1000 Worte! (Blocking von HTTP, TCP 80)
acl
Member: Spirit-of-Eli
Spirit-of-Eli Jul 28, 2023 at 12:12:21 (UTC)
Goto Top
Zitat von @aqui:

filtert diese ACL liste nicht nur stumpf nach Protokollen aber eben nicht nach bestimmten Ports
Nein, das ist natürlich Unsinn und gilt für alle Switches die IP ACLs supporten!
Wenn du als Protokoll TCP oder UDP wählst kannst du natürlich auch immer Ports bzw. Dienste wählen inkl. der Flags bei TCP. Sogar andere Protokolltypen wie ICMP, ESP usw. lassen sich wählen.
Sowas weiss man aber eigentlich auch als Netzwerk Admin! 🧐
Ein Bild sagt mehr als 1000 Worte! (Blocking von HTTP, TCP 80)
acl

Ich musste gerade ehrlich gesagt danach suchen. Ich habe noch niemanden gesehen, der ACLs auf Switche schraubt welche Port basiert sind.
Scheint ja doch zu gehen.
Member: aqui
aqui Jul 29, 2023 at 16:28:38 (UTC)
Goto Top
Das stimmt. Das ist in der Regel auch selten innerhalb des eigenen Netzwerkes und macht nur in dem Falle Sinn wenn man bestimmte Endgeräte auch lokal im eigenen L2 Netzwerk blocken will.
Häufiger sind diese ACL natürlich auf Layer 3 Switches um den Zugriff unter den VLANs wasserdicht zu regeln und dann liegen sie immer auf den VLAN IP Interfaces. face-wink
Member: aqui
aqui Aug 12, 2023 at 14:58:50 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!