Sicherer Internetzugang für Hotelzimmer über welchen Switch bzw. Router?
Guten Abend,
ich möchte ca. 24 Zimmer + Verwaltung mit bestehender CAT5-Verkabelung Zugang zum Internet über DSL ermöglichen. Die Zimmer sollen jedoch weder sich untereinander noch die Verwaltung sehen können. Rein nur Internet.
Habe schon den Tip bekommen, dies über VLANs zu machen, weiß aber nicht über welche Geräte genau.
Folgende Modelle hatte ich mir mal angeschaut:
Asus GigaX 1024i+ (Layer2)
Asus GigaX 3024X (Layer3)
(alle benötigten Geräte zusammen sollten 3 stellig im Betrag bleiben)
Beide können laut Beschreibung mit VLANs umgehen, aber welcher kann an einen vorhanden Router Speedport W701V angeschlossen werden? Falls das überhaupt möglich ist.
Hat jemand schon Erfahrung mit diesen Geräten, bzw. hat jemand eine bessere Lösung für mich?
Danke schon mal im Vorraus
MfG
omgh
ich möchte ca. 24 Zimmer + Verwaltung mit bestehender CAT5-Verkabelung Zugang zum Internet über DSL ermöglichen. Die Zimmer sollen jedoch weder sich untereinander noch die Verwaltung sehen können. Rein nur Internet.
Habe schon den Tip bekommen, dies über VLANs zu machen, weiß aber nicht über welche Geräte genau.
Folgende Modelle hatte ich mir mal angeschaut:
Asus GigaX 1024i+ (Layer2)
Asus GigaX 3024X (Layer3)
(alle benötigten Geräte zusammen sollten 3 stellig im Betrag bleiben)
Beide können laut Beschreibung mit VLANs umgehen, aber welcher kann an einen vorhanden Router Speedport W701V angeschlossen werden? Falls das überhaupt möglich ist.
Hat jemand schon Erfahrung mit diesen Geräten, bzw. hat jemand eine bessere Lösung für mich?
Danke schon mal im Vorraus
MfG
omgh
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 72779
Url: https://administrator.de/forum/sicherer-internetzugang-fuer-hotelzimmer-ueber-welchen-switch-bzw-router-72779.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
5 Kommentare
Neuester Kommentar
Moin...
vlans sind nur getrennte Segment in dem Switch ... also alles per Software einstellbar. Der Router muss verschiedene Gateway verbinden können. Lowcost kann das, glaube ich nicht.
Wir setzen ein Router-Cluster von Juniper ein, die können das.
Sorry jetzt sehe ich du hast ein Router von der Telecom .... wenn der das kann fresse ich ein 19" Switch ... sorry vergess es ...
evtl reicht es wenn du mit den Wireless AP nur das Segment der Hotelzimmer verbindest und als GW den Router port angibts. Und fürs Office netz ein anderes segment nimmts und wieder den router als gw. für jedes segment ein eingenden switch. sollte doch gehen ..
gruß
vlans sind nur getrennte Segment in dem Switch ... also alles per Software einstellbar. Der Router muss verschiedene Gateway verbinden können. Lowcost kann das, glaube ich nicht.
Wir setzen ein Router-Cluster von Juniper ein, die können das.
Sorry jetzt sehe ich du hast ein Router von der Telecom .... wenn der das kann fresse ich ein 19" Switch ... sorry vergess es ...
evtl reicht es wenn du mit den Wireless AP nur das Segment der Hotelzimmer verbindest und als GW den Router port angibts. Und fürs Office netz ein anderes segment nimmts und wieder den router als gw. für jedes segment ein eingenden switch. sollte doch gehen ..
gruß
Nach deinem Konzept benötigst du einen Router (Layer 3 Switch) mit 24 Ports das ist richtig, der verbindet aber auch alle Netze wieder untereinander und damit können andere Gäste andere hacken und ausspionieren. Es sein denn du willst an jedem Port mühsam (teure) Access Listen konfigurieren...?! Das ist absolut der falsche Ansatz und hilft dir nicht weiter... !
Du brauchst einen Switch der sog. private VLANs supportet oder mindestens die Möglichkeit einen dedizierten Uplink Port zu konfigurieren ! Damit ist sicher eine Any to Any Kommunikation zwischen den Teilnehmern (Gästen) innerhalb eines Netzes (Gäste VLAN) sicher unterdrückt und damit Angriffe auf andere Gästerechner wirksam unterdrückt.
Ferner sollte dieser Switch ein Layer 3 Switch mit Accesslisten Fähigkeit sein damit du eine Kommunikation ins Verwaltungs VLAN sicher verhindern kannst. Ein drittes VLAN realisiert dann die Internetverbindung über den vorhandenen Router für alle Netze.
Hilfreich ist folgender Thread:
Routing zwischen VLANs teilweiße blockieren - Procurve 2626
Allerdings solltest du diesen HP Switch nicht kaufen, da er keine PVLAN Fähigkeit besitzt und auch keine Access Listen im Layer 3 supportet und damit für deine Anwendung unbrauchbar ist.
Switches von Cisco, Extreme Networks, Nortel, Foundry Networks usw. supporten sowas problemlos !
Eine gute Lektüre zum Thema VLAN ist für dich der folgende ct Artikel:
http://www.heise.de/netze/artikel/77832
Da du ja scheinbar keine professionelle Lösung suchst (Budget) wäre auch eine Lösung mit einer DMZ Zone denkbar wie sie hier:
http://www.heise.de/netze/artikel/78397
beschrieben ist, erfordert aber 2 Router die aber in deinem Budget sicher drin sind. Mit zwei Billigswitches bleibst du auch noch immer im Rahmen. Allerdings löst dir das zwar das Problem der Trennung zwischen Verwaltungsnetz und Gästenetz aber nicht das Problem das alle Gäste wieder untereinander sich gegenseitig hacken und ausspionieren können, was man nur mit PVLANs oder Uplink Ports gelöst bekommt das Switches unterstützen müssen.
Abgesehen davon hast du auch keinen Proxy oder ein sog. Captive Portal wo Benutzer sich authentifizieren müssen um zu prüfen welcher Gast wann was im Internet gemacht hat. Für Straftaten wie z.B. illegales Download etc. die Gäste über deinen Anschluss verüben bist du strafrechtlich voll verantwortlich !
Du brauchst einen Switch der sog. private VLANs supportet oder mindestens die Möglichkeit einen dedizierten Uplink Port zu konfigurieren ! Damit ist sicher eine Any to Any Kommunikation zwischen den Teilnehmern (Gästen) innerhalb eines Netzes (Gäste VLAN) sicher unterdrückt und damit Angriffe auf andere Gästerechner wirksam unterdrückt.
Ferner sollte dieser Switch ein Layer 3 Switch mit Accesslisten Fähigkeit sein damit du eine Kommunikation ins Verwaltungs VLAN sicher verhindern kannst. Ein drittes VLAN realisiert dann die Internetverbindung über den vorhandenen Router für alle Netze.
Hilfreich ist folgender Thread:
Routing zwischen VLANs teilweiße blockieren - Procurve 2626
Allerdings solltest du diesen HP Switch nicht kaufen, da er keine PVLAN Fähigkeit besitzt und auch keine Access Listen im Layer 3 supportet und damit für deine Anwendung unbrauchbar ist.
Switches von Cisco, Extreme Networks, Nortel, Foundry Networks usw. supporten sowas problemlos !
Eine gute Lektüre zum Thema VLAN ist für dich der folgende ct Artikel:
http://www.heise.de/netze/artikel/77832
Da du ja scheinbar keine professionelle Lösung suchst (Budget) wäre auch eine Lösung mit einer DMZ Zone denkbar wie sie hier:
http://www.heise.de/netze/artikel/78397
beschrieben ist, erfordert aber 2 Router die aber in deinem Budget sicher drin sind. Mit zwei Billigswitches bleibst du auch noch immer im Rahmen. Allerdings löst dir das zwar das Problem der Trennung zwischen Verwaltungsnetz und Gästenetz aber nicht das Problem das alle Gäste wieder untereinander sich gegenseitig hacken und ausspionieren können, was man nur mit PVLANs oder Uplink Ports gelöst bekommt das Switches unterstützen müssen.
Abgesehen davon hast du auch keinen Proxy oder ein sog. Captive Portal wo Benutzer sich authentifizieren müssen um zu prüfen welcher Gast wann was im Internet gemacht hat. Für Straftaten wie z.B. illegales Download etc. die Gäste über deinen Anschluss verüben bist du strafrechtlich voll verantwortlich !