7
Reicht für das Management-LAN das untagged LAN oder sollte es ein zusätzliches VLAN geben?
Hallo,
bei mir hängt an eth0 meines Routers ein großer Switch. Aktuell ist eth0 am Router mit der Management-IP-Range belegt und es gibt kein VLAN für das Management-LAN. Außerdem sind auf eth0 noch diverse VLANs konfiguriert z.B. eth0.10, das für verkabelte Geräte gedacht ist.
Sollte das Management-LAN zusätzlich noch als tagged VLAN auf eth0 konfiguriert werden? Schließlich habe ich ja sonst keine Management-VLAN-ID oder?
Wenn ja, wie verbinde ich das untagged Management-LAN und das tagged Management V-LAN auf eth0?
bei mir hängt an eth0 meines Routers ein großer Switch. Aktuell ist eth0 am Router mit der Management-IP-Range belegt und es gibt kein VLAN für das Management-LAN. Außerdem sind auf eth0 noch diverse VLANs konfiguriert z.B. eth0.10, das für verkabelte Geräte gedacht ist.
Sollte das Management-LAN zusätzlich noch als tagged VLAN auf eth0 konfiguriert werden? Schließlich habe ich ja sonst keine Management-VLAN-ID oder?
Wenn ja, wie verbinde ich das untagged Management-LAN und das tagged Management V-LAN auf eth0?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 304554
Url: https://administrator.de/forum/reicht-fuer-das-management-lan-das-untagged-lan-oder-sollte-es-ein-zusaetzliches-vlan-geben-304554.html
Ausgedruckt am: 08.01.2025 um 06:01 Uhr
7 Kommentare
Neuester Kommentar
Du hast ja schon ein Management VLAN wenn man deine Aussage oben richtig interpretiert. In dem VLAN Segment hat man Zugriff auf alle zu managen Geräte.
Welche ID letztlich dieses Management VLAN hat ist vollkommen Latte. Wichtig ist nur die Tatsache DAS du ein Management VLAN hast das den Management Traffic separat bedient mit entsprechenden Zugriffsbeschränkungen nur für die Admins !
Managementtraffic sollte niemals gleichzeitig mit Produktivtraffic oder in anderen offenen Segmenten einhergehen.
Aber genau das machst du ja auch folgt man deiner o.a. Beschreibung.
Die ID ist dabei wie gesagt egal. Wo ist nun dein Problem ?
Welche ID letztlich dieses Management VLAN hat ist vollkommen Latte. Wichtig ist nur die Tatsache DAS du ein Management VLAN hast das den Management Traffic separat bedient mit entsprechenden Zugriffsbeschränkungen nur für die Admins !
Managementtraffic sollte niemals gleichzeitig mit Produktivtraffic oder in anderen offenen Segmenten einhergehen.
Aber genau das machst du ja auch folgt man deiner o.a. Beschreibung.
Die ID ist dabei wie gesagt egal. Wo ist nun dein Problem ?
Ja, mein Management Lan ist vom Produktiv Lan getrennt, d.h., dass kein Zugriff möglich ist.
ABER: Ich habe kein VLAN für das Management, sondern mein Management LAN ist einfach das untagged LAN, das vom Router zum Switch geht (ich kann also auch gar keine VLAN ID einstellen).
ABER: Ich habe kein VLAN für das Management, sondern mein Management LAN ist einfach das untagged LAN, das vom Router zum Switch geht (ich kann also auch gar keine VLAN ID einstellen).
So sieht das ganze aktuell aus, passt das?
sondern mein Management LAN ist einfach das untagged LAN,
Das ist dann das sog. Native VLAN oder Default VLAN. Mehr oder weniger auch ein VLAN in einem VLAN Umfeld.Das Native VLAN ist immer untagged in einem tagged Uplink...alles gut also.
Also passt das so oder lässt sich das irgendwie besser machen?
Nöö...passt so.
Man könnte natürlich darüber streiten ob es sinnvoll ist das Default VLAN als Management VLAN zu nehmen.
Puristen verneinen das. Logisch, denn im Default VLAN landen alle nicht zugewiesenen Ports die dann immer automatisch im Management VLAN liegen.
Aus Sicherheitssicht ist das suboptimal. Besser wäre dann in der Tat ein dediziertes VLAN für das Management.
Eine Beurteilung hängt aber final dann von deinen eigenen Sicherheitsansprüchen bzw. Policy ab.
Man könnte natürlich darüber streiten ob es sinnvoll ist das Default VLAN als Management VLAN zu nehmen.
Puristen verneinen das. Logisch, denn im Default VLAN landen alle nicht zugewiesenen Ports die dann immer automatisch im Management VLAN liegen.
Aus Sicherheitssicht ist das suboptimal. Besser wäre dann in der Tat ein dediziertes VLAN für das Management.
Eine Beurteilung hängt aber final dann von deinen eigenen Sicherheitsansprüchen bzw. Policy ab.
