5
Richtiges Routing zwischen VLANs
Hallo zusammen,
ich will mein Netzwerk in verschiedenen VLANs unterteilen. Hierbei sollen die VLANs auch in unterschiedliche Subnetze unterteilt werden. Da mein Switch (SG300) Layer-3-fähig ist kann ich ihn auch nutzen um das Routung zwischen den VLANs zu machen (bzw. um genau zu sein routet er automatisch zwischen den Netzen).
Nun ist mein Anliegen beim Separieren der Netze natürlich auch etwas mehr Sicherheit in das Netzwerk zu bekommen. Es muss längst nicht jeder Host mit jedem anderen sprechen können.
Nun ist meine Frage: Wie mache ich diese Trennung ab besten?
Meiner Meinung nach habe ich zwei Möglichkeiten:
1) Ich betreibe den Switch in L3. Damit sind alle Netze durchgeroutet und ich muss über ACLs einschränken was ich will und was nicht. (Ich würde hier IPv4 ACLs nutzen).
Ich denke das Ganze sollte recht flott sein, dass es alles im Switch abläuft, jedoch fürchte ich, dass das über ACLs sehr schnell sehr unübersichtlich wird.
2) Ich betreibe den Switch in L2. Damit sind alle Netze grundsätzlich getrennt. Über einen Trunk-Port wird ein (Software-)Router/Firewall angeschlossen der dann das Routing und das Filtering übernimmt. Einen Vorteil den ich sehe ist, dass Netze für dich ich keine Regeln hinterlege automatisch getrennt sind. Nachteilig sehe ich, dass aller Datenverkehr zwischen den VLANs erst mal über den Trunk zum Router und wieder zurück muss.
Was wäre denn hier "Best Practice"?
Danke euch
ich will mein Netzwerk in verschiedenen VLANs unterteilen. Hierbei sollen die VLANs auch in unterschiedliche Subnetze unterteilt werden. Da mein Switch (SG300) Layer-3-fähig ist kann ich ihn auch nutzen um das Routung zwischen den VLANs zu machen (bzw. um genau zu sein routet er automatisch zwischen den Netzen).
Nun ist mein Anliegen beim Separieren der Netze natürlich auch etwas mehr Sicherheit in das Netzwerk zu bekommen. Es muss längst nicht jeder Host mit jedem anderen sprechen können.
Nun ist meine Frage: Wie mache ich diese Trennung ab besten?
Meiner Meinung nach habe ich zwei Möglichkeiten:
1) Ich betreibe den Switch in L3. Damit sind alle Netze durchgeroutet und ich muss über ACLs einschränken was ich will und was nicht. (Ich würde hier IPv4 ACLs nutzen).
Ich denke das Ganze sollte recht flott sein, dass es alles im Switch abläuft, jedoch fürchte ich, dass das über ACLs sehr schnell sehr unübersichtlich wird.
2) Ich betreibe den Switch in L2. Damit sind alle Netze grundsätzlich getrennt. Über einen Trunk-Port wird ein (Software-)Router/Firewall angeschlossen der dann das Routing und das Filtering übernimmt. Einen Vorteil den ich sehe ist, dass Netze für dich ich keine Regeln hinterlege automatisch getrennt sind. Nachteilig sehe ich, dass aller Datenverkehr zwischen den VLANs erst mal über den Trunk zum Router und wieder zurück muss.
Was wäre denn hier "Best Practice"?
Danke euch
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 325052
Url: https://administrator.de/contentid/325052
Ausgedruckt am: 23.11.2024 um 12:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
fwbuilder ist ein GUI für firewall-design und kann auch cisco acls exportieren (http://www.fwbuilder.org).
Gruss
fwbuilder ist ein GUI für firewall-design und kann auch cisco acls exportieren (http://www.fwbuilder.org).
Gruss
Wenn es auch um Internetzugang geht, bzw. der Datenverkehr geprüft werden soll (deep packet inspection), dann würde ich das Routing über eine Firewall machen. Aber das ist am Ende von den Daten abhängig und vom Sicherheitsbedürfnis der einzelnen Netze.
Wenn es um Sicherheit geht, dann Routen über DPI-Firewall, ansonsten Routing per L3-Switch.
vG
LS
Wenn es um Sicherheit geht, dann Routen über DPI-Firewall, ansonsten Routing per L3-Switch.
vG
LS
Hallo zusammen,
alles packen und VLAN fähig sein. Und zum Anderen kann man auch auf zwei Beinen stehen, und dann routet die Firewall oder der Router
nur den WAN Bereich und der Switch den LAN Bereich dann aber auch garantiert mit fast Wire Speed von A nach B und das ist meist der
Fall wenn Server, NAS und andere Geräte große Dateien verschieben.
von A nach B? Erzähl mal etwas dazu.
mit beiden Varianten kann man es gut und gerne flott und sicher realisieren. Denn die Firewallregeln und/oder SPI/NAT
am WAN Port schotten das Netz ja in beiden Fällen ab. Und die Switch ACLs müsse auch nicht jede Woche angepasst werden!
Gruß
Dobby
1) Ich betreibe den Switch in L3. Damit sind alle Netze durchgeroutet und ich muss über ACLs einschränken was ich will und was nicht.
(Ich würde hier IPv4 ACLs nutzen).
Es gibt da eben zwei Wege die man gehen kann, einmal routet alles nur die Firewall oder der Router und dann muss der das aber auch(Ich würde hier IPv4 ACLs nutzen).
alles packen und VLAN fähig sein. Und zum Anderen kann man auch auf zwei Beinen stehen, und dann routet die Firewall oder der Router
nur den WAN Bereich und der Switch den LAN Bereich dann aber auch garantiert mit fast Wire Speed von A nach B und das ist meist der
Fall wenn Server, NAS und andere Geräte große Dateien verschieben.
Ich denke das Ganze sollte recht flott sein, dass es alles im Switch abläuft, jedoch fürchte ich, dass das über ACLs sehr
schnell sehr unübersichtlich wird.
Was sind denn für Geräte im Netzwerk vorhanden und was wird dort vor Ort an Dateien hin und her geschoben!?schnell sehr unübersichtlich wird.
2) Ich betreibe den Switch in L2. Damit sind alle Netze grundsätzlich getrennt. Über einen Trunk-Port wird ein (Software-)
Router/Firewall angeschlossen der dann das Routing und das Filtering übernimmt. Einen Vorteil den ich sehe ist, dass
Netze für dich ich keine Regeln hinterlege automatisch getrennt sind.
Router/Firewall angeschlossen der dann das Routing und das Filtering übernimmt. Einen Vorteil den ich sehe ist, dass
Netze für dich ich keine Regeln hinterlege automatisch getrennt sind.
Nachteilig sehe ich, dass aller Datenverkehr zwischen den VLANs erst mal über den Trunk zum Router und wieder zurück muss.
Richtig, und was dort wirklich passiert kannst nur Du uns erzählen und nicht wir Dir!!!! Hast Du ein NAS, kopierst Du GB weise Dateienvon A nach B? Erzähl mal etwas dazu.
Was wäre denn hier "Best Practice"?
Gibt es pauschal nicht, denn es muss zu Dir und Deinen Gewohnheiten, Bedürfnissen und Deinem Netzwerk passenmit beiden Varianten kann man es gut und gerne flott und sicher realisieren. Denn die Firewallregeln und/oder SPI/NAT
am WAN Port schotten das Netz ja in beiden Fällen ab. Und die Switch ACLs müsse auch nicht jede Woche angepasst werden!
Gruß
Dobby
Danke für die Antworten.
Im Netzwerk befindet sich alles mögliche was man heute so zu Hause hat.
- Zum Einen wirklich klassische IT (Desktops, Notebooks, Drucker, NAS) - hier werden auch ordentlich Daten fließen wobei die alle in ein Netzsegment sollen und daher nicht geroutet werden müssten.
- Dann hätten wir natürlich noch Handys und Tablets (und Gästehandys oder -tablets). Hier will ich ordentliche Trennung, was im WLAN schwer wird und ich hier wohl auf einen VLAN-fähigen WLAN-AP wechseln werde (der dann VLANs in getrennte SSIDs aufteilt).
- Multimediakram wie Streaminglautsprecher, Blu-Ray-Player, Sat>IP, etc. hier sehe ich am meisten Aufwand das vernünftig zu trennen und dennoch funktional zu bleiben.
Den Internetanschluss und Telefon stellt eine FritzBox vom ISP. Zwischen diese und den Switch werde ich noch ein APU2 mit FreeBSD setzen (zwischen APU2 und Fritzbox gibt es also ein kleines Vermittlungsnetz). Der APU2 kann also grundsätzlich Routing, Firewall und VLAN-Trunks machen.
Also momentan denke ich wäre der Weg über ACLs sinnvoll. Der APU2 erhält dann nur regeln die in Richtung ISP wirken.
Im Netzwerk befindet sich alles mögliche was man heute so zu Hause hat.
- Zum Einen wirklich klassische IT (Desktops, Notebooks, Drucker, NAS) - hier werden auch ordentlich Daten fließen wobei die alle in ein Netzsegment sollen und daher nicht geroutet werden müssten.
- Dann hätten wir natürlich noch Handys und Tablets (und Gästehandys oder -tablets). Hier will ich ordentliche Trennung, was im WLAN schwer wird und ich hier wohl auf einen VLAN-fähigen WLAN-AP wechseln werde (der dann VLANs in getrennte SSIDs aufteilt).
- Multimediakram wie Streaminglautsprecher, Blu-Ray-Player, Sat>IP, etc. hier sehe ich am meisten Aufwand das vernünftig zu trennen und dennoch funktional zu bleiben.
Den Internetanschluss und Telefon stellt eine FritzBox vom ISP. Zwischen diese und den Switch werde ich noch ein APU2 mit FreeBSD setzen (zwischen APU2 und Fritzbox gibt es also ein kleines Vermittlungsnetz). Der APU2 kann also grundsätzlich Routing, Firewall und VLAN-Trunks machen.
Also momentan denke ich wäre der Weg über ACLs sinnvoll. Der APU2 erhält dann nur regeln die in Richtung ISP wirken.
Danke euch.
Ich werde es wie geplant über eine Kombination aus ACL und Router Lösen. Leider musste ich erst mühsam feststellen, dass die ACLs nicht stateful sind. Naja werden die Regeln halt länger.
Ich werde es wie geplant über eine Kombination aus ACL und Router Lösen. Leider musste ich erst mühsam feststellen, dass die ACLs nicht stateful sind. Naja werden die Regeln halt länger.
