Sind viele VLANs problematisch?
Hallo Zusammen,
wir haben ein historisch gewachsenes Netzt mit relativ vielen VLANs. Dazu gibt es eine Sophos Firewall die die Netze verbindet.
In dem 10.100.10.* wird die virtualisierten Server, im 10.100.20.* die Client, im 10.100.30.* die Drucker, im 10.100.40.* ist die VoIP Anlage und dessen VoIP Telefone usw. Funktionieren tut es irgend wie schon. Es steht demnächst ein kompletter Umbau und ich stelle das einfach mal zur Disposition.
VLANs wo es Sinn macht wenn es um Sicherheit geht die Netze abzugrenzen ist ja ok. Für jedem Mist ein eigens VLAN zu bauen stoßt mir eigentlich auf.
Wenn wir jetzt nur das Netz der Drucker nehmen die im 10.200.30.* sind frage ich mich was das eigentlich soll. Jeder Druckjob muss vom Client zur Sophos Firewall um in das Drucker Netz zu kommen. Hier sehe ich keinen Grund dafür. Den einzigen Vorteil sehe ich nur im DHCP Server dass die Drucker zusammen sind.
An dieser Stelle frage ich mich ob die Firewall nicht unnötige mit Aufgaben belaste und dadurch ein Netzt langsamer wird.
Oder anderes gefragt: Wenn es viele VLANs gibt, kann es zu irgend welchen Probleme führen oder wird das Netz dadurch spürbar langsamer?
Gruß Kostas
wir haben ein historisch gewachsenes Netzt mit relativ vielen VLANs. Dazu gibt es eine Sophos Firewall die die Netze verbindet.
In dem 10.100.10.* wird die virtualisierten Server, im 10.100.20.* die Client, im 10.100.30.* die Drucker, im 10.100.40.* ist die VoIP Anlage und dessen VoIP Telefone usw. Funktionieren tut es irgend wie schon. Es steht demnächst ein kompletter Umbau und ich stelle das einfach mal zur Disposition.
VLANs wo es Sinn macht wenn es um Sicherheit geht die Netze abzugrenzen ist ja ok. Für jedem Mist ein eigens VLAN zu bauen stoßt mir eigentlich auf.
Wenn wir jetzt nur das Netz der Drucker nehmen die im 10.200.30.* sind frage ich mich was das eigentlich soll. Jeder Druckjob muss vom Client zur Sophos Firewall um in das Drucker Netz zu kommen. Hier sehe ich keinen Grund dafür. Den einzigen Vorteil sehe ich nur im DHCP Server dass die Drucker zusammen sind.
An dieser Stelle frage ich mich ob die Firewall nicht unnötige mit Aufgaben belaste und dadurch ein Netzt langsamer wird.
Oder anderes gefragt: Wenn es viele VLANs gibt, kann es zu irgend welchen Probleme führen oder wird das Netz dadurch spürbar langsamer?
Gruß Kostas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1459070592
Url: https://administrator.de/contentid/1459070592
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
19 Kommentare
Neuester Kommentar
Moin.
Was bedeutet viel?
4094 sind kein Problem, 4095 jedoch schon.
Gruß
C.C.
Was bedeutet viel?
4094 sind kein Problem, 4095 jedoch schon.
Gruß
C.C.
Zitat von @Kostas:
Hallo Zusammen,
wir haben ein historisch gewachsenes Netzt mit relativ vielen VLANs. Dazu gibt es eine Sophos Firewall die die Netze verbindet.
In dem 10.100.10.* wird die virtualisierten Server, im 10.100.20.* die Client, im 10.100.30.* die Drucker, im 10.100.40.* ist die VoIP Anlage und dessen VoIP Telefone usw. Funktionieren tut es irgend wie schon. Es steht demnächst ein kompletter Umbau und ich stelle das einfach mal zur Disposition.
VLANs wo es Sinn macht wenn es um Sicherheit geht die Netze abzugrenzen ist ja ok. Für jedem Mist ein eigens VLAN zu bauen stoßt mir eigentlich auf.
Wenn wir jetzt nur das Netz der Drucker nehmen die im 10.200.30.* sind frage ich mich was das eigentlich soll. Jeder Druckjob muss vom Client zur Sophos Firewall um in das Drucker Netz zu kommen. Hier sehe ich keinen Grund dafür. Den einzigen Vorteil sehe ich nur im DHCP Server dass die Drucker zusammen sind.
An dieser Stelle frage ich mich ob die Firewall nicht unnötige mit Aufgaben belaste und dadurch ein Netzt langsamer wird.
Oder anderes gefragt: Wenn es viele VLANs gibt, kann es zu irgend welchen Probleme führen oder wird das Netz dadurch spürbar langsamer?
Gruß Kostas
Hallo Zusammen,
wir haben ein historisch gewachsenes Netzt mit relativ vielen VLANs. Dazu gibt es eine Sophos Firewall die die Netze verbindet.
In dem 10.100.10.* wird die virtualisierten Server, im 10.100.20.* die Client, im 10.100.30.* die Drucker, im 10.100.40.* ist die VoIP Anlage und dessen VoIP Telefone usw. Funktionieren tut es irgend wie schon. Es steht demnächst ein kompletter Umbau und ich stelle das einfach mal zur Disposition.
VLANs wo es Sinn macht wenn es um Sicherheit geht die Netze abzugrenzen ist ja ok. Für jedem Mist ein eigens VLAN zu bauen stoßt mir eigentlich auf.
Wenn wir jetzt nur das Netz der Drucker nehmen die im 10.200.30.* sind frage ich mich was das eigentlich soll. Jeder Druckjob muss vom Client zur Sophos Firewall um in das Drucker Netz zu kommen. Hier sehe ich keinen Grund dafür. Den einzigen Vorteil sehe ich nur im DHCP Server dass die Drucker zusammen sind.
An dieser Stelle frage ich mich ob die Firewall nicht unnötige mit Aufgaben belaste und dadurch ein Netzt langsamer wird.
Oder anderes gefragt: Wenn es viele VLANs gibt, kann es zu irgend welchen Probleme führen oder wird das Netz dadurch spürbar langsamer?
Gruß Kostas
Zitat von @148656:
Moin.
Was bedeutet viel?
4094 sind kein Problem, 4095 jedoch schon.
der ist fies.... Moin.
Was bedeutet viel?
4094 sind kein Problem, 4095 jedoch schon.
Gruß
C.C.
@Kostas
Du musst entscheiden, was du Absichern musst.
Generell wurden im letzten Monat, mehrere Thread über Sinn und Unsinn von VLAN eröffnet.
@Vision2015
Thats Life
Standard ist Standard
Kann ja auch nix dafür.
Du musst entscheiden, was du Absichern musst.
Generell wurden im letzten Monat, mehrere Thread über Sinn und Unsinn von VLAN eröffnet.
@Vision2015
Thats Life
Standard ist Standard
Kann ja auch nix dafür.
Zitat von @Kostas:
ich möchte mich nicht auf die Menge festlegen sondern um Sinn oder Unsinn und ob sie das Netzt insgesamt stören oder ausbremsen.
ich möchte mich nicht auf die Menge festlegen sondern um Sinn oder Unsinn und ob sie das Netzt insgesamt stören oder ausbremsen.
Es macht aber schon einen Unterschied, über welche Menge wir sprechen. Nach dem, was Du eingangs schreibst, sind es gerade mal 4 VLANs? Oder ist dies nur ein Ausschnitt? Bei so wenigen VLANs kann es eigentlich keine Performance-Probleme geben und jede Hardware langweilt sich, es sei denn, es ist die kleinste Sophos, viele Hundert User an entsprechend vielen Clients, Serverfarm mit 100 Servern, 1000 VOIP-Telefone und 500 Drucker. Dann wäre die Sophos ggf. ein Nadelöhr.
Ansonsten macht die VLAN-Segmentierung natürlich immer Sinn. Drucker mit veralteter Firmware, die angegriffen und übernommen werden kann, können bspw. nicht mehr wild im Produktivnetz herumspuken. WLANs für Mitarbeiter, Gäste, Techniker etc. lassen sich sauber trennen (nur Internet, Internet und Teile internes Netz, nur internes Netz etc.).
Selbst IT-technisch kleine Netzwerkumgebungen werden sinnvollerweise in verschiedene VLANs (schnell >20) aufgeteilt, wenn es die Unternehmung sinnvollerweise erfordert.
Beispiel: ein kleines Hotel.
Hier benötigen Gäste Internetzugriff, aber sonst natürlich gar nichts. Das Musiknetz sollte autark laufen und benötigt bspw. bei Sonos Internetzugriff, hat aber im internen Netz nichts verloren. Mitarbeiter möchten "privates" WLAN = nur Internet (falls nicht im Gäste-Netz), Dienst-Geräte benötigen im eigenen WLAN Zugriff auf das Produktivnetz. Produktivnetz, Server, Kameranetz, Backupnetz, Management-Netz, Maschinen-Netz (Küchenmaschinen mit Onlineanbindung z.B.), Informations-Netz (Gästeinformationen auf eigenen Servern). Da kommt schnell einiges zusammen.
Und das selbst dann, wenn da vor Ort vielleicht nur 3-5 PCs stehen und 10-15 Mann da arbeiten.
Aber hier bestimmen Sicherheitsanforderungen die Unterteilung, und wenn die moderne Technik = VLANs das ermöglicht, dann sollte man auch Gebrauch davon machen.
Gruß
DivideByZero
Moin,
Nichts ist schlimmer in der IT als gewachsene Strukturen.
Server sollten besonders geschützt werden. Also gehören sie auch gegenüber dem Rest der IT-Struktur hinter eine Firewall. Also eigenes Netz.
Die müssen ja auch irgendwie versorgt werden.
Oh wären wir froh gewesen, wenn wir die in einem eigenen Netz gehabt hätten, als mal einer anfing braune Masse ins Netz zu senden und so das gesamte Clientnetz runtergerissen hat. Zum einen hätten wir gewusst, dass es ein Drucker ist, was die Suche auf etwa zehn Geräte beschränkt hätte. Zum anderen hätten die Kolleginnen und Kollegen weiterarbeiten können. Drucker in ein eigenes Netz zu sperren, halte ich seit dem für äußerst sinnvoll.
Die VoIP-Anlage steht ziemlich nackig im Netz. Außerdem braucht man dafür Portfreigaben, die Löcher in die Firewall bohren. Sowas gehört in eine DMZ. BTW: Bei Deiner Auflistung vermisse ich die DMZ für Hop-Server und die DMZ für öffentlich erreichbare Rechner wie z. B. den Web- und den Emailserver.
Außerdem kommt bei VoIP hinzu, dass das recht schnelle Netze braucht. Ein eigenes Netz ist da sehr hilfreich. Sonst kann die Firma nicht mehr telefonieren, wenn irgendwas das Netz auslastet (s. o. das Druckerbeispiel)
Bisher war da aber noch kein Mist. Und es geht nicht nur um Sicherheit. Es geht auch um Funktionalität.
Das habe ich oben beantwortet.
Ja und?
Hä? Drucker per DHCP ansteuern. Nö.
Dann brauchst Du eine leistungsfähigere FW.
Nicht wenn der/die Router und FWs leistungsfähig genug sind. Was aber ein Netz wirklich langsam macht, sind zu viele Clients (wobei aus der Sicht auch Server und Drucker Clients sind). Irgendwann sind die Switches dann nur noch mit Broadcasts und Pufferüberläufen beschäftigt. Schon allein deswegen ist es sinnvoll, die Broadcastdomains klein zu halten. Dabei kommt es natürlich immer darauf an, welche Geräte und welche Anwendungen.
Liebe Grüße
Erik
Zitat von @Kostas:
wir haben ein historisch gewachsenes Netzt mit relativ vielen VLANs. Dazu gibt es eine Sophos Firewall die die Netze verbindet.
wir haben ein historisch gewachsenes Netzt mit relativ vielen VLANs. Dazu gibt es eine Sophos Firewall die die Netze verbindet.
Nichts ist schlimmer in der IT als gewachsene Strukturen.
In dem 10.100.10.* wird die virtualisierten Server,
Server sollten besonders geschützt werden. Also gehören sie auch gegenüber dem Rest der IT-Struktur hinter eine Firewall. Also eigenes Netz.
im 10.100.20.* die Client,
Die müssen ja auch irgendwie versorgt werden.
im 10.100.30.* die Drucker,
Oh wären wir froh gewesen, wenn wir die in einem eigenen Netz gehabt hätten, als mal einer anfing braune Masse ins Netz zu senden und so das gesamte Clientnetz runtergerissen hat. Zum einen hätten wir gewusst, dass es ein Drucker ist, was die Suche auf etwa zehn Geräte beschränkt hätte. Zum anderen hätten die Kolleginnen und Kollegen weiterarbeiten können. Drucker in ein eigenes Netz zu sperren, halte ich seit dem für äußerst sinnvoll.
im 10.100.40.* ist die VoIP Anlage und dessen VoIP Telefone usw.
Die VoIP-Anlage steht ziemlich nackig im Netz. Außerdem braucht man dafür Portfreigaben, die Löcher in die Firewall bohren. Sowas gehört in eine DMZ. BTW: Bei Deiner Auflistung vermisse ich die DMZ für Hop-Server und die DMZ für öffentlich erreichbare Rechner wie z. B. den Web- und den Emailserver.
Außerdem kommt bei VoIP hinzu, dass das recht schnelle Netze braucht. Ein eigenes Netz ist da sehr hilfreich. Sonst kann die Firma nicht mehr telefonieren, wenn irgendwas das Netz auslastet (s. o. das Druckerbeispiel)
VLANs wo es Sinn macht wenn es um Sicherheit geht die Netze abzugrenzen ist ja ok. Für jedem Mist ein eigens VLAN zu bauen stoßt mir eigentlich auf.
Bisher war da aber noch kein Mist. Und es geht nicht nur um Sicherheit. Es geht auch um Funktionalität.
Wenn wir jetzt nur das Netz der Drucker nehmen die im 10.200.30.* sind frage ich mich was das eigentlich soll.
Das habe ich oben beantwortet.
Jeder Druckjob muss vom Client zur Sophos Firewall um in das Drucker Netz zu kommen.
Ja und?
Hier sehe ich keinen Grund dafür. Den einzigen Vorteil sehe ich nur im DHCP Server dass die Drucker zusammen sind.
Hä? Drucker per DHCP ansteuern. Nö.
An dieser Stelle frage ich mich ob die Firewall nicht unnötige mit Aufgaben belaste und dadurch ein Netzt langsamer wird.
Dann brauchst Du eine leistungsfähigere FW.
Oder anderes gefragt: Wenn es viele VLANs gibt, kann es zu irgend welchen Probleme führen oder wird das Netz dadurch spürbar langsamer?
Nicht wenn der/die Router und FWs leistungsfähig genug sind. Was aber ein Netz wirklich langsam macht, sind zu viele Clients (wobei aus der Sicht auch Server und Drucker Clients sind). Irgendwann sind die Switches dann nur noch mit Broadcasts und Pufferüberläufen beschäftigt. Schon allein deswegen ist es sinnvoll, die Broadcastdomains klein zu halten. Dabei kommt es natürlich immer darauf an, welche Geräte und welche Anwendungen.
Liebe Grüße
Erik
Erst mal - ich würde mal behaupten das du ganz andere Probleme hast wenn die performance runtergeht wenn zwischen VLANs geroutet wird und du was gewinnst um "kleine" Bereiche wie Drucker rausnimmst. Das sollte die Firewall machen ohne das dort was warm wird. Es macht aber trotzdem Sinn das so zu machen:
- Das eine ist wenn eben der Drucker mal irgendwie übernommen wird. Das kann passieren, ist aber normal eher unwahrscheinlich.
- Viel wahrscheinlicher ist: Der Azubi findet raus das er ja seinen (privaten) Laptop an den Port hängen kann und dann der Download ausm Internet auch wieder klappt (bei nem eigenem VLAN kann man ja durchaus auch in der FW sagen das die Drucker als Beispiel keinen Internet-Zugriff benötigen und eben auch NUR auf den Printserver kommen können).
Bei VoIP würde ich z.B. immer ein eigenes VLAN nehmen. Das hat auch eher techn. Gründe: Der Traffic wäre im Netzwerk abgeschottet und ggf. priorisiert (um latenzen zu verhindern).
Dazu würde ich sogar noch nen Mgmt-Netz machen - für Switches, Accesspoints,... - Equipment wo eben auf die Mgmt-Oberfläche nur von den Admin-Stationen nen Zugriff möglich ist.
Ob du jetzt nen DHCP (ggf. mit static leases, was durchaus Sinn machen kann) zentral machst oder nicht spielt dabei keine Rolle, das ist nen simpler Helper der jetzt auch nich viel Performance nimmt.
Ich würde sogar überlegen - je nach Grössenordnung der Abteilungen - da noch zu unterteilen um zum einen die Broadcast-Domains überschaubar zu halten und zum anderem auch da die Prio einstellbar zu haben. Nehmen wir mal an du hast die Abteilung "Marketing" die permanent 100-GB-Weise die Videos mit irgendeinem Cloud-Dienst abgleicht - dann wäre es da ggf. zu überlegen über nen Limit dafür zu sorgen das trotzdem noch für alle anderen genug Bandbreite zum Arbeiten bleibt (z.B. Tagsüber während der Arbeitszeit die Leitung einschränken und Nachts wenn keiner das nutzt freigeben).
Es hängt also wie meistens von deiner Umgebung ab was genau Sinn macht. Aber generell würde ich eher Unterteilen als Zusammenfassen.
- Das eine ist wenn eben der Drucker mal irgendwie übernommen wird. Das kann passieren, ist aber normal eher unwahrscheinlich.
- Viel wahrscheinlicher ist: Der Azubi findet raus das er ja seinen (privaten) Laptop an den Port hängen kann und dann der Download ausm Internet auch wieder klappt (bei nem eigenem VLAN kann man ja durchaus auch in der FW sagen das die Drucker als Beispiel keinen Internet-Zugriff benötigen und eben auch NUR auf den Printserver kommen können).
Bei VoIP würde ich z.B. immer ein eigenes VLAN nehmen. Das hat auch eher techn. Gründe: Der Traffic wäre im Netzwerk abgeschottet und ggf. priorisiert (um latenzen zu verhindern).
Dazu würde ich sogar noch nen Mgmt-Netz machen - für Switches, Accesspoints,... - Equipment wo eben auf die Mgmt-Oberfläche nur von den Admin-Stationen nen Zugriff möglich ist.
Ob du jetzt nen DHCP (ggf. mit static leases, was durchaus Sinn machen kann) zentral machst oder nicht spielt dabei keine Rolle, das ist nen simpler Helper der jetzt auch nich viel Performance nimmt.
Ich würde sogar überlegen - je nach Grössenordnung der Abteilungen - da noch zu unterteilen um zum einen die Broadcast-Domains überschaubar zu halten und zum anderem auch da die Prio einstellbar zu haben. Nehmen wir mal an du hast die Abteilung "Marketing" die permanent 100-GB-Weise die Videos mit irgendeinem Cloud-Dienst abgleicht - dann wäre es da ggf. zu überlegen über nen Limit dafür zu sorgen das trotzdem noch für alle anderen genug Bandbreite zum Arbeiten bleibt (z.B. Tagsüber während der Arbeitszeit die Leitung einschränken und Nachts wenn keiner das nutzt freigeben).
Es hängt also wie meistens von deiner Umgebung ab was genau Sinn macht. Aber generell würde ich eher Unterteilen als Zusammenfassen.
Moin @Visucius,
Gute Frage. Jedoch kenne ich kein allgemeingültiges "Default VLAN". Entweder sind die Bits gesetzt oder es ist kein VLAN
Gute Frage. Jedoch kenne ich kein allgemeingültiges "Default VLAN". Entweder sind die Bits gesetzt oder es ist kein VLAN
Für jedem Mist ein eigens VLAN zu bauen stoßt mir eigentlich auf.
Kann aber durchaus Sinn machen. Jeder gute und verantwortungsvolle Netzwerk Admin kennt die Regel nie mehr als 150 Endgeräte +- in eine Layer 2 Broadcast Domain zu packen um die Broad- und Multicast Last gering zu halten und damit die Performance des gesamten Netzes hoch.Eine Segmentierung ist also immer sinnvoll nicht nur aus Security Sicht. Es gibt viele andere gute Gründe dafür !
Wenn wir jetzt nur das Netz der Drucker nehmen die im 10.200.30.* sind frage ich mich was das eigentlich soll.
Drucker haben meist billige und schwachbrüstige SoCs verbaut zur Steuerung. Wenn so ein Drucker LAN Interface nun eine Broad- und Multicast Last eines Endgeräte Segments mit 200 Geräten "vor die Nase" bekommt erzeugt jedes dieser Broad- und Multicast Pakete im Netz einen Interrupt am SoC denn dieser MUSS sich den Paketinhalt ansehen egal oder er für ihn ist oder nicht. Das zwingt den SoC dann in die Knie und Drucken wird quälend langsam. Kollege @maretz hat es oben ja umfassend erklärt.Soweit hast du mit deinem Netzwerk Horizont vermutlich noch gar nicht gedacht, oder ?
Den einzigen Vorteil sehe ich nur im DHCP Server dass die Drucker zusammen sind.
Völliger Quatsch, denn so ein segmentiertes Netz betreibt man immer mit einem zentralen DHCP Server und DHCP Relay / Forwarding (DHCP Helper). Solche einfachen Basics solltest du als Netzwerk Admin eigentlich auch ohne einen Foren Thread wissen.und dadurch ein Netzt langsamer wird.
Nein, das Gegenteil ist der Fall. Größere Netze bestehen aus 30 VLANs und mehr. Nur damit du mal abschätzen kannst wo du dich so bewegst mit deiner Handvoll...Alles andere erklärt dir das hiesige VLAN_Tutorial und seine weiterführenden Links.
Zitat von @148656:
Moin @Visucius,
Gute Frage. Jedoch kenne ich kein allgemeingültiges "Default VLAN". Entweder sind die Bits gesetzt oder es ist kein VLAN
Moin @Visucius,
Gute Frage. Jedoch kenne ich kein allgemeingültiges "Default VLAN". Entweder sind die Bits gesetzt oder es ist kein VLAN
Naja, ich hatte das "oanser" im Blick. Aber damit ergibt sich die Antwort eigentlich auch schon von selbst. Mist, wieder mal ein Fall von "erst denken, dann fragen"
Zitat von @maretz:
Erst mal - ich würde mal behaupten das du ganz andere Probleme hast wenn die performance runtergeht wenn zwischen VLANs geroutet wird und du was gewinnst um "kleine" Bereiche wie Drucker rausnimmst. Das sollte die Firewall machen ohne das dort was warm wird.
Erst mal - ich würde mal behaupten das du ganz andere Probleme hast wenn die performance runtergeht wenn zwischen VLANs geroutet wird und du was gewinnst um "kleine" Bereiche wie Drucker rausnimmst. Das sollte die Firewall machen ohne das dort was warm wird.
Grundsätzlich mag das stimmen. Ich würde das aber doch von der HW abhängig machen. Jetzt sind meine bisherigen Kontakte mit Sophos eher negativ behaftet, und deswegen schrillen bei mir auch Alarmglocken, wenn ich z.B so nen Bullshit-Bingo wie "Dual processor architecture for an excellent price to performance ratio" (aktuelle xg86) lesen muss ... und auch nach 5 mal klicken weder Prozessor noch Speicher, sondern immer nur selbst kreierte "Performance-Daten" benannt bekomme, bei denen niemand den Testaufbau kennt.
Will dann ja lieber nicht wissen, was die z.B. im Vorgängermodell verbaut haben. Und bei den sonstigen Aufgaben, die das Ding (angeblich) alle managed, kann ich mir problemlos vorstellen, dass der Wechsel zwischen vLANs - der nirgends in den "Performance-Daten" auftaucht - "arschlangsam" ist, wenn das z.B. über SW gelöst wird. Bei meinem 800 Mhz Mikrotik reden wir da z.B. von 160 Mbit/s ... ohne große Nebenaufgaben und nur 2 aktiven Clients im Netz.
Moin,
Ob Du "jeden Mist" übe reine Firewall routen mußt, oder ob Du das über einen normalen Router laufen läßt ist Deien Entscheidung.
Man muß nicht alles strikt gegeneinander abtrennen, aber manchmal ist es doch sinnvoll, wenn z.B. die User nicht die Drucker direkt ansteuern können, sondern die Jobs über den Printserver laufen lassen müssen.
Es ist einfach eine Frage des Konzeptes, das Du vorher Dir überlegst und umsetzt.
Die Frage ist auch, wieviel Geräte jeweils in den VLANs stecken. Wenn Du nur einen Server eine handvoll Drucker und ein Dutzend Arbeitsstationen hast, kann es durchaus sinnvoll sein, gar keine VLANs einzusetzen, wenn nicht irgendwelche Sicherheitsanforderungen dafür sprechen. Es kann aber genauso sinnvoll sein, dafür jeweils extra VLANS zu machen, auch wenn es nicht einmal ein dutzend Geräte sein sollten.
Ein andere Konzept könnten z.B. auch "Abteilings-VLANs" sein, die nicht nach Geräten, sondern nach Abteilungen sortiert sind.
Das man Telefonie in ein eigenes VLAN mit passendem QoS steckt ist heutztage durchaus üblich.
Also: Es hängt von Dir selbst ab, ob und wie viele VLANs Du einsetzt.
lks
Ob Du "jeden Mist" übe reine Firewall routen mußt, oder ob Du das über einen normalen Router laufen läßt ist Deien Entscheidung.
Man muß nicht alles strikt gegeneinander abtrennen, aber manchmal ist es doch sinnvoll, wenn z.B. die User nicht die Drucker direkt ansteuern können, sondern die Jobs über den Printserver laufen lassen müssen.
Es ist einfach eine Frage des Konzeptes, das Du vorher Dir überlegst und umsetzt.
Die Frage ist auch, wieviel Geräte jeweils in den VLANs stecken. Wenn Du nur einen Server eine handvoll Drucker und ein Dutzend Arbeitsstationen hast, kann es durchaus sinnvoll sein, gar keine VLANs einzusetzen, wenn nicht irgendwelche Sicherheitsanforderungen dafür sprechen. Es kann aber genauso sinnvoll sein, dafür jeweils extra VLANS zu machen, auch wenn es nicht einmal ein dutzend Geräte sein sollten.
Ein andere Konzept könnten z.B. auch "Abteilings-VLANs" sein, die nicht nach Geräten, sondern nach Abteilungen sortiert sind.
Das man Telefonie in ein eigenes VLAN mit passendem QoS steckt ist heutztage durchaus üblich.
Also: Es hängt von Dir selbst ab, ob und wie viele VLANs Du einsetzt.
lks
Zitat von @aqui:
Drucker haben meist billige und schwachbrüstige SoCs verbaut zur Steuerung. Wenn so ein Drucker LAN Interface nun eine Broad- und Multicast Last eines Endgeräte Segments mit 200 Geräten "vor die Nase" bekommt erzeugt jedes dieser Broad- und Multicast Pakete im Netz einen Interrupt am SoC denn dieser MUSS sich den Paketinhalt ansehen egal oder er für ihn ist oder nicht. Das zwingt den SoC dann in die Knie und Drucken wird quälend langsam. Kollege @maretz hat es oben ja umfassend erklärt.
Drucker haben meist billige und schwachbrüstige SoCs verbaut zur Steuerung. Wenn so ein Drucker LAN Interface nun eine Broad- und Multicast Last eines Endgeräte Segments mit 200 Geräten "vor die Nase" bekommt erzeugt jedes dieser Broad- und Multicast Pakete im Netz einen Interrupt am SoC denn dieser MUSS sich den Paketinhalt ansehen egal oder er für ihn ist oder nicht. Das zwingt den SoC dann in die Knie und Drucken wird quälend langsam. Kollege @maretz hat es oben ja umfassend erklärt.
Moin Moin,
wie vielleicht bekannt ist, ist mein Bereich Drucken
Ich frage mich wie hier so oft das Märchen vom Übernehmen des Druckers kommt..
Ja, bevor es meine Arbeit wurde hätte Ich es wahrscheinlich auch gesagt
Aber,
wie Aqui so schön ausführt:
ALLE MFP sind sehr knapp kalkuliert !
Die haben Ihre Parameter plus etwas Reserve, und das war es.
Auch an Platz.
Auch wenn die eine HDD drinnen haben.
Ich will nicht sagen das so etwas NIE möglich ist !
Aber es ist so aufwendig..
Es gibt viel einfachere Wege in das Netz zu kommen, siehe PrintNightmare.
Und da sind nicht die Hersteller die Ursache
Davon abgesehen.
Ich empfehle auch die Drucker in ein separates VLAN zu packen.
Denn es gibt sehr oft Probleme mit den managebaren Switchen.
Drucker verhalten sich komplett anders als PCs.
Und sehr oft sind die Switche nicht darauf eingestellt.
Deswegen empfehle Ich die Drucker zum einen HW seitig zu kanalisieren,
das nur diese MFP die Ports nutzen können,
zum anderen halt auch mit VLAN alles dicht zu machen.
So ein MFP benötigt nur 2 Schnittstellen nach draußen:
Printserver und Mailserver, Für scan2Mail.
Oder ein Print&Follow System das beides macht
So bringt es auch niemandem etwas das Kabel zu ziehen und zu nutzen, auch wenn vieles andere an Sicherheit nicht klappt / deaktiviert ist
(Der Fall mit der "Übernahme" des MFP durch ein Fax vor ca 3 Jahren.
Das waren zum einen nicht viele die es betraf, es ging nur mit einem HP Farb-Befehl.
Zum anderen konnte nur etwas, was zugegebenermaßen nicht vom MFP war, dort abgelegt werden.
Weiter kamen sie nicht nach meinen Infos. Ok, man kann so etwas ins Netz reinliefern zum abholen, aber nur bei wenigen Systemen.)
Ein weiterer VLAN Vorteil, ganz primitiv, wenn einmal die Kommunikation mir den Treibern richtig schön schief läuft, wie hier aufgeführt wurde schon.
Und auch, ja, der Schutz der MFP.
Es gibt Befehle, Scripte, in PostScript, die so einen MFP "zerreißen" können.
Damit kann man jeden Aspekt Steuern. Und bei den Temperaturen und Drehzahlen der Rollen kann Ich mir vorstellen wie das durch entsprechende Befehle gegeneinander arbeitet.
Durch einen Printserver wird das schon schwerer, und mit einem Print&Follow System noch mehr.
Bitte dann auch nicht vergessen den Thread als erledigt zu schliessen !!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?