18
Routingfragen bezüglich VLANs
Hallo;
Ich hab hier eine Umgebung mit einer Fortigate 100D.
Auf der sind 6 VLANs eingerichtet, je eine pro Port.
Per Unmengen an Firewall Regeln wird zwischen den VLANs "geroutet".
Nun meine blöde Frage.
Das heißt ja, dass der Traffic zwischen den VLANs komplett über die Forti geht.
Ist dieses "Design" normal?
Mfg
Ich hab hier eine Umgebung mit einer Fortigate 100D.
Auf der sind 6 VLANs eingerichtet, je eine pro Port.
Per Unmengen an Firewall Regeln wird zwischen den VLANs "geroutet".
Nun meine blöde Frage.
Das heißt ja, dass der Traffic zwischen den VLANs komplett über die Forti geht.
Ist dieses "Design" normal?
Mfg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 387903
Url: https://administrator.de/contentid/387903
Printed on: April 19, 2024 at 21:04 o'clock
18 Comments
Latest comment
Nein, Firewallregeln routen nicht. Die Routen findest du unter dem Punkt Routing.
Das heißt ja, dass der Traffic zwischen den VLANs komplett über die Forti geht.
Ist dieses "Design" normal?
Jedenfalls nicht ungewöhnlich, sonst könntest du ja keine Filter zwischen den VLANs verwenden.
/Thomas
Das heißt ja, dass der Traffic zwischen den VLANs komplett über die Forti geht.
Ist dieses "Design" normal?
/Thomas
Hallo,
kommt auf die Firmenspezifischen Eigenschaften an. Kann durchaus normal sein, wobei, bei div. Designs, die uns hier schon vorgestellt wurden, was ist normal?
Zumindest sind die Netze dann hoffentlich sauber durch die Firewall getrennt und entsprechend überwacht.
VG
kommt auf die Firmenspezifischen Eigenschaften an. Kann durchaus normal sein, wobei, bei div. Designs, die uns hier schon vorgestellt wurden, was ist normal?
Zumindest sind die Netze dann hoffentlich sauber durch die Firewall getrennt und entsprechend überwacht.
VG
Neben Firmen-Regeln ist das auch eine Frage deiner Hardware... Oft wird es auch gemacht das der Core-Switch das Routing und die Firewall auf den internen Netzen übernimmt. Stell dir vor du hast nen Core mit n 10G-Interfaces, deine Firewall aber nur 1GBit (und das schafft die eh kaum wenn du wirkliche Regeln hast). Würdest du jetzt alles über die Firewall leiten würdest du natürlich gleich das Limit setzen. Und da du - in der Grössenordnung wo sowas zu finden ist - das Servernetz vom Client-Netz(en) getrennt hast kann das schon eine deutliche Einschränkung sein...
Aber generell ist es sicher nicht ungewöhnlich das sowas eben die normale Firewall mit behandelt, wie gesagt, hängt von der Hardware und von der Firma ab.
Aber generell ist es sicher nicht ungewöhnlich das sowas eben die normale Firewall mit behandelt, wie gesagt, hängt von der Hardware und von der Firma ab.
Hallo,
klar wenn man überlegt was hier für Sachen gemacht werden, mag das normal erscheinen. Und wir kennen den Rest des Aufbaus nicht, aber pro vorhandenen Port ein eigenes V-LAN ist für mich erst mal Sinnlos und das Filtern zwischen den V-Lans macht man am Layer3 Switch der hier, ich vermute mal, nicht vorhanden ist.
Somit denke ich mal das man sich die V-LAN Aufteilung sparen hätte können und der der das eingerichtet hat Wüstenschiff was er tat. Oder es ist historisch bedingt durch einen alten Aufbau den es so nicht mehr gibt.
klar wenn man überlegt was hier für Sachen gemacht werden, mag das normal erscheinen. Und wir kennen den Rest des Aufbaus nicht, aber pro vorhandenen Port ein eigenes V-LAN ist für mich erst mal Sinnlos und das Filtern zwischen den V-Lans macht man am Layer3 Switch der hier, ich vermute mal, nicht vorhanden ist.
Somit denke ich mal das man sich die V-LAN Aufteilung sparen hätte können und der der das eingerichtet hat Wüstenschiff was er tat. Oder es ist historisch bedingt durch einen alten Aufbau den es so nicht mehr gibt.
1
Moin ..
Das mit dem Wüstenschiff gefällt mir .... kannst du das näher ausführen
Ansonsten aber volle Zustimmung ...
VG
Das mit dem Wüstenschiff gefällt mir .... kannst du das näher ausführen
Ansonsten aber volle Zustimmung ...
VG
Tja, Apple und deren Autokorrektur. Weiß auch mit wie das jetzt zusammen gekommen ist.
Der hat nicht gewusst was er da gemacht hat.
Der hat nicht gewusst was er da gemacht hat.
Hm, die Punkte Static Routes bzw Policy Routes sind leer 
Ich mach das ganze nur über IPv4 Policies
Ich mach das ganze nur über IPv4 Policies
Ich hab das ganze nur über die Firewall getrennt.
Ja, ist denke ich schon sauber
In welchen Sinne überwacht?
Ja, ist denke ich schon sauber
In welchen Sinne überwacht?
Ja, das ist klar.
Sobald wir auf 10G umsteigen muss natürlich die Firewall mit wachsen. Aber das passiert sicher nicht vor 2020
Sobald wir auf 10G umsteigen muss natürlich die Firewall mit wachsen. Aber das passiert sicher nicht vor 2020
Wieso sinnlos?
Vielleicht falsch verstanden, je ein Port der Fortigate geht in ein VLAN auf dem Core Switch.
Auf der Forti selbst sind eigentlich keine VLANs definidert, werde den Anfangspost dementsprechend anpassen.
Eingerichtet wurde das Ganze vor 4 Jahren ungefähr, leider vor meiner Zeit.
Und ja, ich bin auch der Meinung dass der nicht viel Ahnung hatte.
Und nein, ein L3 Switch ist nicht vorhanden.
Vielleicht falsch verstanden, je ein Port der Fortigate geht in ein VLAN auf dem Core Switch.
Auf der Forti selbst sind eigentlich keine VLANs definidert, werde den Anfangspost dementsprechend anpassen.
Eingerichtet wurde das Ganze vor 4 Jahren ungefähr, leider vor meiner Zeit.
Und ja, ich bin auch der Meinung dass der nicht viel Ahnung hatte.
Und nein, ein L3 Switch ist nicht vorhanden.
Moin ...
Hmmm, nach diesem Hinweis bin ich mir nicht sicher ob das jetzt besser wird
Zitat von @Freak-On-Silicon:
Und ja, ich bin auch der Meinung dass der nicht viel Ahnung hatte.
Und nein, ein L3 Switch ist nicht vorhanden.
Und ja, ich bin auch der Meinung dass der nicht viel Ahnung hatte.
Und nein, ein L3 Switch ist nicht vorhanden.
Hmmm, nach diesem Hinweis bin ich mir nicht sicher ob das jetzt besser wird
Ich versuch es wenigstens.
Ich trau mich ja gar nicht zu schreiben was hier sonst noch so abgeht.
Da könnte man das weinen anfangen.
Ich trau mich ja gar nicht zu schreiben was hier sonst noch so abgeht.
Da könnte man das weinen anfangen.
Moin...
ok... dann versuch doch als erstes mal die zitat funktion... dann wissen wir auf was du antwortest....
Ich trau mich ja gar nicht zu schreiben was hier sonst noch so abgeht.
es ist freitag... heute ist alles erlaubt...
Frank
ok... dann versuch doch als erstes mal die zitat funktion... dann wissen wir auf was du antwortest....
Ich trau mich ja gar nicht zu schreiben was hier sonst noch so abgeht.
Da könnte man das weinen anfangen.
nicht doch... eigentlich gibbet nix, was wir bei Administrator.de nicht lösen können... Frank
1
Nun - erste Sache die immer cool kommt: Wenn man immer schön dem Vorgänger unterstellt das der keine Ahnung hatte... Merkwürdig das die kaum weg sind und plötzlich is alles müll gewesen - aber das macht dann den eigenen Job besser und erhöht die Glaubwürdigkeit....
Dann: Deine Firewall hat bestenfalls mehrere Ports als Portchannel / Trunk so das du die Ports als Gruppe hast. Und dann lernt deine Firewall halt die VLANs - schon hast du gleich eine Schwachstelle eleminiert und gleichzeitig noch für etwas Redundanz gesorgt. Generell kannst du sagen das du Access-Ports so spät wie möglich definierst.
Allerdings wirst du damit immer noch das Problem der Leistung haben. Üblicherweise hast du bei der Firewall 3 Werte:
- Reine "durchgangsgeschwindigkeit" (z.B. die Portgeschwindigkeit)
- Geschwindigkeit bei VPN-Verbindungen (da die Verschlüsselung Zeit kostet üblicherweise << als die Port-Geschwindigkeit)
- Anzahl der Pakete die durch die Firewall-Regeln kommen
Ein L3-Switch ist hier im "Vorteil", da der im normalfall nur simple Regeln kennt - rein Port-Basiert, nix mit grossen Application-Filter oder sonst was..
Ich würde mir also mal nen Konzept überlegen wie man das aufbauen kann/will -> bei deinem derzeitigen Konstrukt (so ich das richtig verstehe) hast du eben zum Server nur 1 GBit egal aus welchem Netz du kommst (da nur 1 Port an der Firewall in das VLAN geht). Wenn also Herr X jetzt seine 20 GB-Iso-File mal kurz hochlädt dann steht dein Netz erst mal.... Mit nem vernünftigen Design (Server mit mehreren Leitungen zum Switch, L3-Switch erledigt das Routing oder mehrere Lines zur Firewall,....) passiert da nix weil die anderen Geräte halt die verbleibenden Leitungen nutzen können.. Herr X kann eh nur eine Leitung nutzen (bei normalen Einstellungen), d.h. nur seine Verbindung zum Server ist lahm und er kann ggf. neben dem Kopiervorgang nicht gleichzeitig noch 5 andere Daten kopieren....
Dann: Deine Firewall hat bestenfalls mehrere Ports als Portchannel / Trunk so das du die Ports als Gruppe hast. Und dann lernt deine Firewall halt die VLANs - schon hast du gleich eine Schwachstelle eleminiert und gleichzeitig noch für etwas Redundanz gesorgt. Generell kannst du sagen das du Access-Ports so spät wie möglich definierst.
Allerdings wirst du damit immer noch das Problem der Leistung haben. Üblicherweise hast du bei der Firewall 3 Werte:
- Reine "durchgangsgeschwindigkeit" (z.B. die Portgeschwindigkeit)
- Geschwindigkeit bei VPN-Verbindungen (da die Verschlüsselung Zeit kostet üblicherweise << als die Port-Geschwindigkeit)
- Anzahl der Pakete die durch die Firewall-Regeln kommen
Ein L3-Switch ist hier im "Vorteil", da der im normalfall nur simple Regeln kennt - rein Port-Basiert, nix mit grossen Application-Filter oder sonst was..
Ich würde mir also mal nen Konzept überlegen wie man das aufbauen kann/will -> bei deinem derzeitigen Konstrukt (so ich das richtig verstehe) hast du eben zum Server nur 1 GBit egal aus welchem Netz du kommst (da nur 1 Port an der Firewall in das VLAN geht). Wenn also Herr X jetzt seine 20 GB-Iso-File mal kurz hochlädt dann steht dein Netz erst mal.... Mit nem vernünftigen Design (Server mit mehreren Leitungen zum Switch, L3-Switch erledigt das Routing oder mehrere Lines zur Firewall,....) passiert da nix weil die anderen Geräte halt die verbleibenden Leitungen nutzen können.. Herr X kann eh nur eine Leitung nutzen (bei normalen Einstellungen), d.h. nur seine Verbindung zum Server ist lahm und er kann ggf. neben dem Kopiervorgang nicht gleichzeitig noch 5 andere Daten kopieren....
1
Moin Maretz,
greift aber zu kurz, ggf. war das Design eben so aufgebaut, um den Traffic zwischen Netz A und B zu segmentieren und zu scannen. Macht bspw Sinn, wenn man in einem Netz Leute oder Systeme hat, die besonders "Dau" sind bzw eben alternativ die Systeme besonders kritisch sind.
Wenn man zwischen den VLANs dann direkt über den Switch geht, dann kann man das gesamte Konstrukt im Zweifelsfall auch gleich in die Tonne treten, weil sowieso alles durch darf.
Wäre dann nur ne nette ABM...
greift aber zu kurz, ggf. war das Design eben so aufgebaut, um den Traffic zwischen Netz A und B zu segmentieren und zu scannen. Macht bspw Sinn, wenn man in einem Netz Leute oder Systeme hat, die besonders "Dau" sind bzw eben alternativ die Systeme besonders kritisch sind.
Wenn man zwischen den VLANs dann direkt über den Switch geht, dann kann man das gesamte Konstrukt im Zweifelsfall auch gleich in die Tonne treten, weil sowieso alles durch darf.
Wäre dann nur ne nette ABM...
1Zitat von @Freak-On-Silicon:
Hm, die Punkte Static Routes bzw Policy Routes sind leer
Ich mach das ganze nur über IPv4 Policies
Hm, die Punkte Static Routes bzw Policy Routes sind leer
Ich mach das ganze nur über IPv4 Policies
Ändert nichts daran das Firewallregeln nicht routen sonder filtern. Da die Netze alle direkt connected sind muß natürlich auch keine explizite Route eingetragen sein, du wirst die Routen im Routing Monitor trotzdem sehen. Vielleicht solltest du dich zu dem Thema noch mal schulen bevor du da jetzt ohne Plan irgendetwas anfäßt.
1Zitat von @maretz:
Nun - erste Sache die immer cool kommt: Wenn man immer schön dem Vorgänger unterstellt das der keine Ahnung hatte... Merkwürdig das die kaum weg sind und plötzlich is alles müll gewesen - aber das macht dann den eigenen Job besser und erhöht die Glaubwürdigkeit....
Dann: Deine Firewall hat bestenfalls mehrere Ports als Portchannel / Trunk so das du die Ports als Gruppe hast. Und dann lernt deine Firewall halt die VLANs - schon hast du gleich eine Schwachstelle eleminiert und gleichzeitig noch für etwas Redundanz gesorgt. Generell kannst du sagen das du Access-Ports so spät wie möglich definierst.
Allerdings wirst du damit immer noch das Problem der Leistung haben. Üblicherweise hast du bei der Firewall 3 Werte:
- Reine "durchgangsgeschwindigkeit" (z.B. die Portgeschwindigkeit)
- Geschwindigkeit bei VPN-Verbindungen (da die Verschlüsselung Zeit kostet üblicherweise << als die Port-Geschwindigkeit)
- Anzahl der Pakete die durch die Firewall-Regeln kommen
Ein L3-Switch ist hier im "Vorteil", da der im normalfall nur simple Regeln kennt - rein Port-Basiert, nix mit grossen Application-Filter oder sonst was..
Ich würde mir also mal nen Konzept überlegen wie man das aufbauen kann/will -> bei deinem derzeitigen Konstrukt (so ich das richtig verstehe) hast du eben zum Server nur 1 GBit egal aus welchem Netz du kommst (da nur 1 Port an der Firewall in das VLAN geht). Wenn also Herr X jetzt seine 20 GB-Iso-File mal kurz hochlädt dann steht dein Netz erst mal.... Mit nem vernünftigen Design (Server mit mehreren Leitungen zum Switch, L3-Switch erledigt das Routing oder mehrere Lines zur Firewall,....) passiert da nix weil die anderen Geräte halt die verbleibenden Leitungen nutzen können.. Herr X kann eh nur eine Leitung nutzen (bei normalen Einstellungen), d.h. nur seine Verbindung zum Server ist lahm und er kann ggf. neben dem Kopiervorgang nicht gleichzeitig noch 5 andere Daten kopieren....
Nun - erste Sache die immer cool kommt: Wenn man immer schön dem Vorgänger unterstellt das der keine Ahnung hatte... Merkwürdig das die kaum weg sind und plötzlich is alles müll gewesen - aber das macht dann den eigenen Job besser und erhöht die Glaubwürdigkeit....
Dann: Deine Firewall hat bestenfalls mehrere Ports als Portchannel / Trunk so das du die Ports als Gruppe hast. Und dann lernt deine Firewall halt die VLANs - schon hast du gleich eine Schwachstelle eleminiert und gleichzeitig noch für etwas Redundanz gesorgt. Generell kannst du sagen das du Access-Ports so spät wie möglich definierst.
Allerdings wirst du damit immer noch das Problem der Leistung haben. Üblicherweise hast du bei der Firewall 3 Werte:
- Reine "durchgangsgeschwindigkeit" (z.B. die Portgeschwindigkeit)
- Geschwindigkeit bei VPN-Verbindungen (da die Verschlüsselung Zeit kostet üblicherweise << als die Port-Geschwindigkeit)
- Anzahl der Pakete die durch die Firewall-Regeln kommen
Ein L3-Switch ist hier im "Vorteil", da der im normalfall nur simple Regeln kennt - rein Port-Basiert, nix mit grossen Application-Filter oder sonst was..
Ich würde mir also mal nen Konzept überlegen wie man das aufbauen kann/will -> bei deinem derzeitigen Konstrukt (so ich das richtig verstehe) hast du eben zum Server nur 1 GBit egal aus welchem Netz du kommst (da nur 1 Port an der Firewall in das VLAN geht). Wenn also Herr X jetzt seine 20 GB-Iso-File mal kurz hochlädt dann steht dein Netz erst mal.... Mit nem vernünftigen Design (Server mit mehreren Leitungen zum Switch, L3-Switch erledigt das Routing oder mehrere Lines zur Firewall,....) passiert da nix weil die anderen Geräte halt die verbleibenden Leitungen nutzen können.. Herr X kann eh nur eine Leitung nutzen (bei normalen Einstellungen), d.h. nur seine Verbindung zum Server ist lahm und er kann ggf. neben dem Kopiervorgang nicht gleichzeitig noch 5 andere Daten kopieren....
Glaub mir, wenn ich ein paar Sachen verraten würde was der so alles gemacht hat, kommt ein jeder zu diesem Ergebnis.
Aber das tut auch nichts zur Sache, und hab ich auch nie direkt behauptet, schon gar nicht in der Arbeit.
Ich werde nächste Woche das Netz hier mal genau aufzeichnen, dass ihr wisst um was es genau geht.
Mit allen möglichen Daten.
Meine ursprüngliche Frage ist eigentlich soweit beantwortet und ich werde diesen Thread hier "schließen".
Hast aber viele Fragen beantwortet, danke.
Zitat von @falscher-sperrstatus:
Moin Maretz,
greift aber zu kurz, ggf. war das Design eben so aufgebaut, um den Traffic zwischen Netz A und B zu segmentieren und zu scannen. Macht bspw Sinn, wenn man in einem Netz Leute oder Systeme hat, die besonders "Dau" sind bzw eben alternativ die Systeme besonders kritisch sind. >
Moin Maretz,
greift aber zu kurz, ggf. war das Design eben so aufgebaut, um den Traffic zwischen Netz A und B zu segmentieren und zu scannen. Macht bspw Sinn, wenn man in einem Netz Leute oder Systeme hat, die besonders "Dau" sind bzw eben alternativ die Systeme besonders kritisch sind. >
Ja, du hast nicht unrecht mit dem Grundgedanken.
Wenn man zwischen den VLANs dann direkt über den Switch geht, dann kann man das gesamte Konstrukt im Zweifelsfall auch gleich in die Tonne treten, weil sowieso alles durch darf.
Wäre dann nur ne nette ABM...
Wäre dann nur ne nette ABM...
Verstehe nicht was du meinst?
Ist aber erstmal egal da ich in einem anderern Thread das ganze genauer erläutern werde.
Zitat von @Th0mKa:
Ändert nichts daran das Firewallregeln nicht routen sonder filtern. Da die Netze alle direkt connected sind muß natürlich auch keine explizite Route eingetragen sein, du wirst die Routen im Routing Monitor trotzdem sehen. Vielleicht solltest du dich zu dem Thema noch mal schulen bevor du da jetzt ohne Plan irgendetwas anfäßt.
Zitat von @Freak-On-Silicon:
Hm, die Punkte Static Routes bzw Policy Routes sind leer
Ich mach das ganze nur über IPv4 Policies
Hm, die Punkte Static Routes bzw Policy Routes sind leer
Ich mach das ganze nur über IPv4 Policies
Ändert nichts daran das Firewallregeln nicht routen sonder filtern. Da die Netze alle direkt connected sind muß natürlich auch keine explizite Route eingetragen sein, du wirst die Routen im Routing Monitor trotzdem sehen. Vielleicht solltest du dich zu dem Thema noch mal schulen bevor du da jetzt ohne Plan irgendetwas anfäßt.
Ich werde mich auf jeden Fall nochmal genauer mit dem ganzen beschäftigen.
Ändert nichts daran das Firewallregeln nicht routen sonder filtern.
Na ja, in der Regel routet die Firewall auch. Sie macht also beides, routen UND filtern. Natürlich kann man eine FW auch im sog. Transparent Mode betreiben, dann filtert sie transparent auf Layer 2 auch Layer 3 Pakete, also aus Endgeräte Sicht dann ohne Routing. Beides geht, wobei der erstere Fall der verbreitetere ist.Das heißt ja, dass der Traffic zwischen den VLANs komplett über die Forti geht.
Ja, siehe auch hier.Ist dieses "Design" normal?
Jein !Diese Frage kann dir niemand zielführend beantworten. Warum ist auch klar und logisch, denn du erwähnst mit keinem einzigen Wort die Security Policy die dem zugrunde liegt
Deshalb ist das dann reines Glaskugel gucken....
In der Regel macht man das mit einem Mischbetrieb damit man nicht alle daten durch eine per 802.1q Trunk angeflanschten Firewall quetschen muss indem man nicht ganz so Security relevante Teile über einen Layer 3 Switch mit einfachen Accesslisten schickt. L3 Switches fackeln sowas in Hardware ab sind also entsprechend performanter als eine Firewall.
VLANs mit sicherheitsrelevantem Inhalt wie Gast Netze oder besonders schützenswerte sendet man dann immer über eine dedizierte FW.
Aber wie gesagt, das ist individuell in jedem Unternehmen anders weil dort andere regeln und Vorschriften gelten.
Klempnermeister Röhricht hat in seinem Netz andere Anforderungen als der Bundesnachrichtendienst. Kollege @certifiedit.net hat es oben schon auf den Punkt gebracht.
In sofern ist deine Frage zu laienhaft und oberflächlich.
1
