5
Sicherer Internetzugang für Hotelzimmer über welchen Switch bzw. Router?
Guten Abend,
ich möchte ca. 24 Zimmer + Verwaltung mit bestehender CAT5-Verkabelung Zugang zum Internet über DSL ermöglichen. Die Zimmer sollen jedoch weder sich untereinander noch die Verwaltung sehen können. Rein nur Internet.
Habe schon den Tip bekommen, dies über VLANs zu machen, weiß aber nicht über welche Geräte genau.
Folgende Modelle hatte ich mir mal angeschaut:
Asus GigaX 1024i+ (Layer2)
Asus GigaX 3024X (Layer3)
(alle benötigten Geräte zusammen sollten 3 stellig im Betrag bleiben)
Beide können laut Beschreibung mit VLANs umgehen, aber welcher kann an einen vorhanden Router Speedport W701V angeschlossen werden? Falls das überhaupt möglich ist.
Hat jemand schon Erfahrung mit diesen Geräten, bzw. hat jemand eine bessere Lösung für mich?
Danke schon mal im Vorraus
MfG
omgh
ich möchte ca. 24 Zimmer + Verwaltung mit bestehender CAT5-Verkabelung Zugang zum Internet über DSL ermöglichen. Die Zimmer sollen jedoch weder sich untereinander noch die Verwaltung sehen können. Rein nur Internet.
Habe schon den Tip bekommen, dies über VLANs zu machen, weiß aber nicht über welche Geräte genau.
Folgende Modelle hatte ich mir mal angeschaut:
Asus GigaX 1024i+ (Layer2)
Asus GigaX 3024X (Layer3)
(alle benötigten Geräte zusammen sollten 3 stellig im Betrag bleiben)
Beide können laut Beschreibung mit VLANs umgehen, aber welcher kann an einen vorhanden Router Speedport W701V angeschlossen werden? Falls das überhaupt möglich ist.
Hat jemand schon Erfahrung mit diesen Geräten, bzw. hat jemand eine bessere Lösung für mich?
Danke schon mal im Vorraus
MfG
omgh
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 72779
Url: https://administrator.de/contentid/72779
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
5 Kommentare
Neuester Kommentar
Moin...
vlans sind nur getrennte Segment in dem Switch ... also alles per Software einstellbar. Der Router muss verschiedene Gateway verbinden können. Lowcost kann das, glaube ich nicht.
Wir setzen ein Router-Cluster von Juniper ein, die können das.
Sorry jetzt sehe ich du hast ein Router von der Telecom .... wenn der das kann fresse ich ein 19" Switch ... sorry vergess es ...
evtl reicht es wenn du mit den Wireless AP nur das Segment der Hotelzimmer verbindest und als GW den Router port angibts. Und fürs Office netz ein anderes segment nimmts und wieder den router als gw. für jedes segment ein eingenden switch. sollte doch gehen ..
gruß
vlans sind nur getrennte Segment in dem Switch ... also alles per Software einstellbar. Der Router muss verschiedene Gateway verbinden können. Lowcost kann das, glaube ich nicht.
Wir setzen ein Router-Cluster von Juniper ein, die können das.
Sorry jetzt sehe ich du hast ein Router von der Telecom .... wenn der das kann fresse ich ein 19" Switch ... sorry vergess es ...
evtl reicht es wenn du mit den Wireless AP nur das Segment der Hotelzimmer verbindest und als GW den Router port angibts. Und fürs Office netz ein anderes segment nimmts und wieder den router als gw. für jedes segment ein eingenden switch. sollte doch gehen ..
gruß
ich hatte mir das eher so gedacht das jeder Port ein eigenes Netz bekommt.
Also z.B.
Port 1 - 192.168.101.1
Port 2 - 192.168.102.1
etc. und alle auf das gleiche Gateway schicke.
Demnach müsste ja das Gateway bei 24 Ports mit 24 Netzen zurecht kommen. Richtig?
Und ebenso ein DHCP vorhanden sein der für 24 Netze IP-Adressen vergibt.
Vielleicht erkläre ich das hier ein wenig umständlich, weiß aber nicht wie ich das sonst erklären soll.
Hab mit Netzwerken bis jetzt nicht viel zu tun gehabt.
Zur Info: Wireless soll bis jetzt jedenfalls nicht eingerichtet werden.
Könnte man dies evtl. mit einem VLAN-Switch und einem PC als Router o. DHCP dazwischen hängen?
MfG
omgh
Also z.B.
Port 1 - 192.168.101.1
Port 2 - 192.168.102.1
etc. und alle auf das gleiche Gateway schicke.
Demnach müsste ja das Gateway bei 24 Ports mit 24 Netzen zurecht kommen. Richtig?
Und ebenso ein DHCP vorhanden sein der für 24 Netze IP-Adressen vergibt.
Vielleicht erkläre ich das hier ein wenig umständlich, weiß aber nicht wie ich das sonst erklären soll.
Hab mit Netzwerken bis jetzt nicht viel zu tun gehabt.
Zur Info: Wireless soll bis jetzt jedenfalls nicht eingerichtet werden.
Könnte man dies evtl. mit einem VLAN-Switch und einem PC als Router o. DHCP dazwischen hängen?
MfG
omgh
Nach deinem Konzept benötigst du einen Router (Layer 3 Switch) mit 24 Ports das ist richtig, der verbindet aber auch alle Netze wieder untereinander und damit können andere Gäste andere hacken und ausspionieren. Es sein denn du willst an jedem Port mühsam (teure) Access Listen konfigurieren...?! Das ist absolut der falsche Ansatz und hilft dir nicht weiter... !
Du brauchst einen Switch der sog. private VLANs supportet oder mindestens die Möglichkeit einen dedizierten Uplink Port zu konfigurieren ! Damit ist sicher eine Any to Any Kommunikation zwischen den Teilnehmern (Gästen) innerhalb eines Netzes (Gäste VLAN) sicher unterdrückt und damit Angriffe auf andere Gästerechner wirksam unterdrückt.
Ferner sollte dieser Switch ein Layer 3 Switch mit Accesslisten Fähigkeit sein damit du eine Kommunikation ins Verwaltungs VLAN sicher verhindern kannst. Ein drittes VLAN realisiert dann die Internetverbindung über den vorhandenen Router für alle Netze.
Hilfreich ist folgender Thread:
Routing zwischen VLANs teilweiße blockieren - Procurve 2626
Allerdings solltest du diesen HP Switch nicht kaufen, da er keine PVLAN Fähigkeit besitzt und auch keine Access Listen im Layer 3 supportet und damit für deine Anwendung unbrauchbar ist.
Switches von Cisco, Extreme Networks, Nortel, Foundry Networks usw. supporten sowas problemlos !
Eine gute Lektüre zum Thema VLAN ist für dich der folgende ct Artikel:
http://www.heise.de/netze/artikel/77832
Da du ja scheinbar keine professionelle Lösung suchst (Budget) wäre auch eine Lösung mit einer DMZ Zone denkbar wie sie hier:
http://www.heise.de/netze/artikel/78397
beschrieben ist, erfordert aber 2 Router die aber in deinem Budget sicher drin sind. Mit zwei Billigswitches bleibst du auch noch immer im Rahmen. Allerdings löst dir das zwar das Problem der Trennung zwischen Verwaltungsnetz und Gästenetz aber nicht das Problem das alle Gäste wieder untereinander sich gegenseitig hacken und ausspionieren können, was man nur mit PVLANs oder Uplink Ports gelöst bekommt das Switches unterstützen müssen.
Abgesehen davon hast du auch keinen Proxy oder ein sog. Captive Portal wo Benutzer sich authentifizieren müssen um zu prüfen welcher Gast wann was im Internet gemacht hat. Für Straftaten wie z.B. illegales Download etc. die Gäste über deinen Anschluss verüben bist du strafrechtlich voll verantwortlich !
Du brauchst einen Switch der sog. private VLANs supportet oder mindestens die Möglichkeit einen dedizierten Uplink Port zu konfigurieren ! Damit ist sicher eine Any to Any Kommunikation zwischen den Teilnehmern (Gästen) innerhalb eines Netzes (Gäste VLAN) sicher unterdrückt und damit Angriffe auf andere Gästerechner wirksam unterdrückt.
Ferner sollte dieser Switch ein Layer 3 Switch mit Accesslisten Fähigkeit sein damit du eine Kommunikation ins Verwaltungs VLAN sicher verhindern kannst. Ein drittes VLAN realisiert dann die Internetverbindung über den vorhandenen Router für alle Netze.
Hilfreich ist folgender Thread:
Routing zwischen VLANs teilweiße blockieren - Procurve 2626
Allerdings solltest du diesen HP Switch nicht kaufen, da er keine PVLAN Fähigkeit besitzt und auch keine Access Listen im Layer 3 supportet und damit für deine Anwendung unbrauchbar ist.
Switches von Cisco, Extreme Networks, Nortel, Foundry Networks usw. supporten sowas problemlos !
Eine gute Lektüre zum Thema VLAN ist für dich der folgende ct Artikel:
http://www.heise.de/netze/artikel/77832
Da du ja scheinbar keine professionelle Lösung suchst (Budget) wäre auch eine Lösung mit einer DMZ Zone denkbar wie sie hier:
http://www.heise.de/netze/artikel/78397
beschrieben ist, erfordert aber 2 Router die aber in deinem Budget sicher drin sind. Mit zwei Billigswitches bleibst du auch noch immer im Rahmen. Allerdings löst dir das zwar das Problem der Trennung zwischen Verwaltungsnetz und Gästenetz aber nicht das Problem das alle Gäste wieder untereinander sich gegenseitig hacken und ausspionieren können, was man nur mit PVLANs oder Uplink Ports gelöst bekommt das Switches unterstützen müssen.
Abgesehen davon hast du auch keinen Proxy oder ein sog. Captive Portal wo Benutzer sich authentifizieren müssen um zu prüfen welcher Gast wann was im Internet gemacht hat. Für Straftaten wie z.B. illegales Download etc. die Gäste über deinen Anschluss verüben bist du strafrechtlich voll verantwortlich !
Ich hab mir mal das mit der Ext. Firewall IPCop angeschaut.
Scheint ganz interessant zu sein.
Kennt sich damit hier wer aus, oder gibts dazu ein extra Forum?
Hätte dazu noch ein paar Fragen:
z.B. muß ich ja dann für jedes Netz eine extra Ntzwerkkarte im PC haben.
Brauch ich dann auch pro Netz einen Switch oder können auch mehrere Netze über einen Switch?
Was müsste der Switch können?
Die entsprechenden IPs vergibt ja dann IPCop wenn ich das richtig verstanden habe.
MfG
omgh
Scheint ganz interessant zu sein.
Kennt sich damit hier wer aus, oder gibts dazu ein extra Forum?
Hätte dazu noch ein paar Fragen:
z.B. muß ich ja dann für jedes Netz eine extra Ntzwerkkarte im PC haben.
Brauch ich dann auch pro Netz einen Switch oder können auch mehrere Netze über einen Switch?
Was müsste der Switch können?
Die entsprechenden IPs vergibt ja dann IPCop wenn ich das richtig verstanden habe.
MfG
omgh
