Sind viele VLANs problematisch?

kostas
Goto Top
Hallo Zusammen,

wir haben ein historisch gewachsenes Netzt mit relativ vielen VLANs. Dazu gibt es eine Sophos Firewall die die Netze verbindet.
In dem 10.100.10.* wird die virtualisierten Server, im 10.100.20.* die Client, im 10.100.30.* die Drucker, im 10.100.40.* ist die VoIP Anlage und dessen VoIP Telefone usw. Funktionieren tut es irgend wie schon. Es steht demnächst ein kompletter Umbau und ich stelle das einfach mal zur Disposition.

VLANs wo es Sinn macht wenn es um Sicherheit geht die Netze abzugrenzen ist ja ok. Für jedem Mist ein eigens VLAN zu bauen stoßt mir eigentlich auf.
Wenn wir jetzt nur das Netz der Drucker nehmen die im 10.200.30.* sind frage ich mich was das eigentlich soll. Jeder Druckjob muss vom Client zur Sophos Firewall um in das Drucker Netz zu kommen. Hier sehe ich keinen Grund dafür. Den einzigen Vorteil sehe ich nur im DHCP Server dass die Drucker zusammen sind.
An dieser Stelle frage ich mich ob die Firewall nicht unnötige mit Aufgaben belaste und dadurch ein Netzt langsamer wird.

Oder anderes gefragt: Wenn es viele VLANs gibt, kann es zu irgend welchen Probleme führen oder wird das Netz dadurch spürbar langsamer?

Gruß Kostas

Content-Key: 1459070592

Url: https://administrator.de/contentid/1459070592

Ausgedruckt am: 27.06.2022 um 06:06 Uhr

Mitglied: 148656
148656 02.11.2021 um 20:27:56 Uhr
Goto Top
Moin.
Was bedeutet viel?
4094 sind kein Problem, 4095 jedoch schon.

Gruß
C.C.
Mitglied: Vision2015
Vision2015 02.11.2021 um 20:30:28 Uhr
Goto Top
Zitat von @Kostas:

Hallo Zusammen,

wir haben ein historisch gewachsenes Netzt mit relativ vielen VLANs. Dazu gibt es eine Sophos Firewall die die Netze verbindet.
In dem 10.100.10.* wird die virtualisierten Server, im 10.100.20.* die Client, im 10.100.30.* die Drucker, im 10.100.40.* ist die VoIP Anlage und dessen VoIP Telefone usw. Funktionieren tut es irgend wie schon. Es steht demnächst ein kompletter Umbau und ich stelle das einfach mal zur Disposition.

VLANs wo es Sinn macht wenn es um Sicherheit geht die Netze abzugrenzen ist ja ok. Für jedem Mist ein eigens VLAN zu bauen stoßt mir eigentlich auf.
Wenn wir jetzt nur das Netz der Drucker nehmen die im 10.200.30.* sind frage ich mich was das eigentlich soll. Jeder Druckjob muss vom Client zur Sophos Firewall um in das Drucker Netz zu kommen. Hier sehe ich keinen Grund dafür. Den einzigen Vorteil sehe ich nur im DHCP Server dass die Drucker zusammen sind.
An dieser Stelle frage ich mich ob die Firewall nicht unnötige mit Aufgaben belaste und dadurch ein Netzt langsamer wird.

Oder anderes gefragt: Wenn es viele VLANs gibt, kann es zu irgend welchen Probleme führen oder wird das Netz dadurch spürbar langsamer?

Gruß Kostas

Zitat von @148656:

Moin.
Was bedeutet viel?
4094 sind kein Problem, 4095 jedoch schon.
der ist fies.... :-) face-smile

Gruß
C.C.
Frank
Mitglied: Kostas
Kostas 02.11.2021 um 20:30:32 Uhr
Goto Top
Moin,

ich möchte mich nicht auf die Menge festlegen sondern um Sinn oder Unsinn und ob sie das Netzt insgesamt stören oder ausbremsen.

Gruß Kostas
Mitglied: 148656
148656 02.11.2021 um 21:08:57 Uhr
Goto Top
@Kostas
Du musst entscheiden, was du Absichern musst.
Generell wurden im letzten Monat, mehrere Thread über Sinn und Unsinn von VLAN eröffnet.

@Vision2015
Thats Life :-D face-big-smile
Standard ist Standard
Kann ja auch nix dafür. :-D face-big-smile
Mitglied: Visucius
Visucius 02.11.2021 um 22:26:53 Uhr
Goto Top
Zitat von @148656:

Moin.
Was bedeutet viel?
4094 sind kein Problem, 4095 jedoch schon.

Gruß
C.C.

Falls es eng wird … zählt da das Default eigentlich dazu?
Mitglied: DivideByZero
DivideByZero 02.11.2021 aktualisiert um 22:30:26 Uhr
Goto Top
Zitat von @Kostas:

ich möchte mich nicht auf die Menge festlegen sondern um Sinn oder Unsinn und ob sie das Netzt insgesamt stören oder ausbremsen.


Es macht aber schon einen Unterschied, über welche Menge wir sprechen. Nach dem, was Du eingangs schreibst, sind es gerade mal 4 VLANs? Oder ist dies nur ein Ausschnitt? Bei so wenigen VLANs kann es eigentlich keine Performance-Probleme geben und jede Hardware langweilt sich, es sei denn, es ist die kleinste Sophos, viele Hundert User an entsprechend vielen Clients, Serverfarm mit 100 Servern, 1000 VOIP-Telefone und 500 Drucker. Dann wäre die Sophos ggf. ein Nadelöhr.

Ansonsten macht die VLAN-Segmentierung natürlich immer Sinn. Drucker mit veralteter Firmware, die angegriffen und übernommen werden kann, können bspw. nicht mehr wild im Produktivnetz herumspuken. WLANs für Mitarbeiter, Gäste, Techniker etc. lassen sich sauber trennen (nur Internet, Internet und Teile internes Netz, nur internes Netz etc.).

Selbst IT-technisch kleine Netzwerkumgebungen werden sinnvollerweise in verschiedene VLANs (schnell >20) aufgeteilt, wenn es die Unternehmung sinnvollerweise erfordert.

Beispiel: ein kleines Hotel.
Hier benötigen Gäste Internetzugriff, aber sonst natürlich gar nichts. Das Musiknetz sollte autark laufen und benötigt bspw. bei Sonos Internetzugriff, hat aber im internen Netz nichts verloren. Mitarbeiter möchten "privates" WLAN = nur Internet (falls nicht im Gäste-Netz), Dienst-Geräte benötigen im eigenen WLAN Zugriff auf das Produktivnetz. Produktivnetz, Server, Kameranetz, Backupnetz, Management-Netz, Maschinen-Netz (Küchenmaschinen mit Onlineanbindung z.B.), Informations-Netz (Gästeinformationen auf eigenen Servern). Da kommt schnell einiges zusammen.
Und das selbst dann, wenn da vor Ort vielleicht nur 3-5 PCs stehen und 10-15 Mann da arbeiten.
Aber hier bestimmen Sicherheitsanforderungen die Unterteilung, und wenn die moderne Technik = VLANs das ermöglicht, dann sollte man auch Gebrauch davon machen.

Gruß

DivideByZero
Mitglied: erikro
erikro 02.11.2021 um 23:17:33 Uhr
Goto Top
Moin,

Zitat von @Kostas:
wir haben ein historisch gewachsenes Netzt mit relativ vielen VLANs. Dazu gibt es eine Sophos Firewall die die Netze verbindet.

Nichts ist schlimmer in der IT als gewachsene Strukturen.

In dem 10.100.10.* wird die virtualisierten Server,

Server sollten besonders geschützt werden. Also gehören sie auch gegenüber dem Rest der IT-Struktur hinter eine Firewall. Also eigenes Netz.

im 10.100.20.* die Client,

Die müssen ja auch irgendwie versorgt werden. ;-) face-wink

im 10.100.30.* die Drucker,

Oh wären wir froh gewesen, wenn wir die in einem eigenen Netz gehabt hätten, als mal einer anfing braune Masse ins Netz zu senden und so das gesamte Clientnetz runtergerissen hat. Zum einen hätten wir gewusst, dass es ein Drucker ist, was die Suche auf etwa zehn Geräte beschränkt hätte. Zum anderen hätten die Kolleginnen und Kollegen weiterarbeiten können. Drucker in ein eigenes Netz zu sperren, halte ich seit dem für äußerst sinnvoll.

im 10.100.40.* ist die VoIP Anlage und dessen VoIP Telefone usw.

Die VoIP-Anlage steht ziemlich nackig im Netz. Außerdem braucht man dafür Portfreigaben, die Löcher in die Firewall bohren. Sowas gehört in eine DMZ. BTW: Bei Deiner Auflistung vermisse ich die DMZ für Hop-Server und die DMZ für öffentlich erreichbare Rechner wie z. B. den Web- und den Emailserver.

Außerdem kommt bei VoIP hinzu, dass das recht schnelle Netze braucht. Ein eigenes Netz ist da sehr hilfreich. Sonst kann die Firma nicht mehr telefonieren, wenn irgendwas das Netz auslastet (s. o. das Druckerbeispiel)

VLANs wo es Sinn macht wenn es um Sicherheit geht die Netze abzugrenzen ist ja ok. Für jedem Mist ein eigens VLAN zu bauen stoßt mir eigentlich auf.

Bisher war da aber noch kein Mist. Und es geht nicht nur um Sicherheit. Es geht auch um Funktionalität.

Wenn wir jetzt nur das Netz der Drucker nehmen die im 10.200.30.* sind frage ich mich was das eigentlich soll.

Das habe ich oben beantwortet.

Jeder Druckjob muss vom Client zur Sophos Firewall um in das Drucker Netz zu kommen.

Ja und?

Hier sehe ich keinen Grund dafür. Den einzigen Vorteil sehe ich nur im DHCP Server dass die Drucker zusammen sind.

Hä? Drucker per DHCP ansteuern. Nö. ;-) face-wink

An dieser Stelle frage ich mich ob die Firewall nicht unnötige mit Aufgaben belaste und dadurch ein Netzt langsamer wird.

Dann brauchst Du eine leistungsfähigere FW.

Oder anderes gefragt: Wenn es viele VLANs gibt, kann es zu irgend welchen Probleme führen oder wird das Netz dadurch spürbar langsamer?

Nicht wenn der/die Router und FWs leistungsfähig genug sind. Was aber ein Netz wirklich langsam macht, sind zu viele Clients (wobei aus der Sicht auch Server und Drucker Clients sind). Irgendwann sind die Switches dann nur noch mit Broadcasts und Pufferüberläufen beschäftigt. Schon allein deswegen ist es sinnvoll, die Broadcastdomains klein zu halten. Dabei kommt es natürlich immer darauf an, welche Geräte und welche Anwendungen.

Liebe Grüße

Erik
Mitglied: maretz
maretz 03.11.2021 um 06:00:44 Uhr
Goto Top
Erst mal - ich würde mal behaupten das du ganz andere Probleme hast wenn die performance runtergeht wenn zwischen VLANs geroutet wird und du was gewinnst um "kleine" Bereiche wie Drucker rausnimmst. Das sollte die Firewall machen ohne das dort was warm wird. Es macht aber trotzdem Sinn das so zu machen:
- Das eine ist wenn eben der Drucker mal irgendwie übernommen wird. Das kann passieren, ist aber normal eher unwahrscheinlich.
- Viel wahrscheinlicher ist: Der Azubi findet raus das er ja seinen (privaten) Laptop an den Port hängen kann und dann der Download ausm Internet auch wieder klappt (bei nem eigenem VLAN kann man ja durchaus auch in der FW sagen das die Drucker als Beispiel keinen Internet-Zugriff benötigen und eben auch NUR auf den Printserver kommen können).

Bei VoIP würde ich z.B. immer ein eigenes VLAN nehmen. Das hat auch eher techn. Gründe: Der Traffic wäre im Netzwerk abgeschottet und ggf. priorisiert (um latenzen zu verhindern).

Dazu würde ich sogar noch nen Mgmt-Netz machen - für Switches, Accesspoints,... - Equipment wo eben auf die Mgmt-Oberfläche nur von den Admin-Stationen nen Zugriff möglich ist.

Ob du jetzt nen DHCP (ggf. mit static leases, was durchaus Sinn machen kann) zentral machst oder nicht spielt dabei keine Rolle, das ist nen simpler Helper der jetzt auch nich viel Performance nimmt.

Ich würde sogar überlegen - je nach Grössenordnung der Abteilungen - da noch zu unterteilen um zum einen die Broadcast-Domains überschaubar zu halten und zum anderem auch da die Prio einstellbar zu haben. Nehmen wir mal an du hast die Abteilung "Marketing" die permanent 100-GB-Weise die Videos mit irgendeinem Cloud-Dienst abgleicht - dann wäre es da ggf. zu überlegen über nen Limit dafür zu sorgen das trotzdem noch für alle anderen genug Bandbreite zum Arbeiten bleibt (z.B. Tagsüber während der Arbeitszeit die Leitung einschränken und Nachts wenn keiner das nutzt freigeben).

Es hängt also wie meistens von deiner Umgebung ab was genau Sinn macht. Aber generell würde ich eher Unterteilen als Zusammenfassen.
Mitglied: 148656
148656 03.11.2021 um 08:14:01 Uhr
Goto Top
Moin @Visucius,
Gute Frage. Jedoch kenne ich kein allgemeingültiges "Default VLAN". Entweder sind die Bits gesetzt oder es ist kein VLAN :-) face-smile
Mitglied: aqui
Lösung aqui 03.11.2021 aktualisiert um 08:49:01 Uhr
Goto Top
Für jedem Mist ein eigens VLAN zu bauen stoßt mir eigentlich auf.
Kann aber durchaus Sinn machen. Jeder gute und verantwortungsvolle Netzwerk Admin kennt die Regel nie mehr als 150 Endgeräte +- in eine Layer 2 Broadcast Domain zu packen um die Broad- und Multicast Last gering zu halten und damit die Performance des gesamten Netzes hoch.
Eine Segmentierung ist also immer sinnvoll nicht nur aus Security Sicht. Es gibt viele andere gute Gründe dafür !
Wenn wir jetzt nur das Netz der Drucker nehmen die im 10.200.30.* sind frage ich mich was das eigentlich soll.
Drucker haben meist billige und schwachbrüstige SoCs verbaut zur Steuerung. Wenn so ein Drucker LAN Interface nun eine Broad- und Multicast Last eines Endgeräte Segments mit 200 Geräten "vor die Nase" bekommt erzeugt jedes dieser Broad- und Multicast Pakete im Netz einen Interrupt am SoC denn dieser MUSS sich den Paketinhalt ansehen egal oder er für ihn ist oder nicht. Das zwingt den SoC dann in die Knie und Drucken wird quälend langsam. Kollege @maretz hat es oben ja umfassend erklärt.
Soweit hast du mit deinem Netzwerk Horizont vermutlich noch gar nicht gedacht, oder ?
Den einzigen Vorteil sehe ich nur im DHCP Server dass die Drucker zusammen sind.
Völliger Quatsch, denn so ein segmentiertes Netz betreibt man immer mit einem zentralen DHCP Server und DHCP Relay / Forwarding (DHCP Helper). Solche einfachen Basics solltest du als Netzwerk Admin eigentlich auch ohne einen Foren Thread wissen.
und dadurch ein Netzt langsamer wird.
Nein, das Gegenteil ist der Fall. Größere Netze bestehen aus 30 VLANs und mehr. Nur damit du mal abschätzen kannst wo du dich so bewegst mit deiner Handvoll...
Alles andere erklärt dir das hiesige VLAN_Tutorial und seine weiterführenden Links.
Mitglied: Visucius
Visucius 03.11.2021 aktualisiert um 09:31:35 Uhr
Goto Top
Zitat von @148656:

Moin @Visucius,
Gute Frage. Jedoch kenne ich kein allgemeingültiges "Default VLAN". Entweder sind die Bits gesetzt oder es ist kein VLAN :-) face-smile

Naja, ich hatte das "oanser" im Blick. Aber damit ergibt sich die Antwort eigentlich auch schon von selbst. Mist, wieder mal ein Fall von "erst denken, dann fragen" ;-) face-wink

Zitat von @maretz:
Erst mal - ich würde mal behaupten das du ganz andere Probleme hast wenn die performance runtergeht wenn zwischen VLANs geroutet wird und du was gewinnst um "kleine" Bereiche wie Drucker rausnimmst. Das sollte die Firewall machen ohne das dort was warm wird.

Grundsätzlich mag das stimmen. Ich würde das aber doch von der HW abhängig machen. Jetzt sind meine bisherigen Kontakte mit Sophos eher negativ behaftet, und deswegen schrillen bei mir auch Alarmglocken, wenn ich z.B so nen Bullshit-Bingo wie "Dual processor architecture for an excellent price to performance ratio" (aktuelle xg86) lesen muss ... und auch nach 5 mal klicken weder Prozessor noch Speicher, sondern immer nur selbst kreierte "Performance-Daten" benannt bekomme, bei denen niemand den Testaufbau kennt. ;-) face-wink
Will dann ja lieber nicht wissen, was die z.B. im Vorgängermodell verbaut haben. Und bei den sonstigen Aufgaben, die das Ding (angeblich) alle managed, kann ich mir problemlos vorstellen, dass der Wechsel zwischen vLANs - der nirgends in den "Performance-Daten" auftaucht - "arschlangsam" ist, wenn das z.B. über SW gelöst wird. Bei meinem 800 Mhz Mikrotik reden wir da z.B. von 160 Mbit/s ... ohne große Nebenaufgaben und nur 2 aktiven Clients im Netz.
Mitglied: Kostas
Kostas 03.11.2021 um 10:12:16 Uhr
Goto Top
Hallo Zusammen,

vielen vielen Dank für die Infos und vor allem für die Links zu den Themen bezüglich VLANs.

Es sind derzeit insgesamt 37 VLANs. Da wir in nächster Zeit die gesamte Server-Hardware incl. Switche und Co. neu anschaffen, und zudem auch intern einiges an Umstrukturierungen durchgeführt werden, steht auch das Thema VLANs auf der Liste. Durch Eure Kommentare ist mir klar geworden dass die Anzahl der VLANs eher kein Problem ist, und es gibt genügend Luft nach oben.

Besten Dank, Ihr habt mir sehr weitergeholfen.
Schöne Grüße
Kostas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 03.11.2021 um 15:35:14 Uhr
Goto Top
Moin,

Ob Du "jeden Mist" übe reine Firewall routen mußt, oder ob Du das über einen normalen Router laufen läßt ist Deien Entscheidung.

Man muß nicht alles strikt gegeneinander abtrennen, aber manchmal ist es doch sinnvoll, wenn z.B. die User nicht die Drucker direkt ansteuern können, sondern die Jobs über den Printserver laufen lassen müssen.

Es ist einfach eine Frage des Konzeptes, das Du vorher Dir überlegst und umsetzt.

Die Frage ist auch, wieviel Geräte jeweils in den VLANs stecken. Wenn Du nur einen Server eine handvoll Drucker und ein Dutzend Arbeitsstationen hast, kann es durchaus sinnvoll sein, gar keine VLANs einzusetzen, wenn nicht irgendwelche Sicherheitsanforderungen dafür sprechen. Es kann aber genauso sinnvoll sein, dafür jeweils extra VLANS zu machen, auch wenn es nicht einmal ein dutzend Geräte sein sollten.

Ein andere Konzept könnten z.B. auch "Abteilings-VLANs" sein, die nicht nach Geräten, sondern nach Abteilungen sortiert sind.

Das man Telefonie in ein eigenes VLAN mit passendem QoS steckt ist heutztage durchaus üblich.

Also: Es hängt von Dir selbst ab, ob und wie viele VLANs Du einsetzt.

lks
Mitglied: TomTomBon
TomTomBon 03.11.2021, aktualisiert am 04.11.2021 um 14:59:18 Uhr
Goto Top
Zitat von @aqui:

Drucker haben meist billige und schwachbrüstige SoCs verbaut zur Steuerung. Wenn so ein Drucker LAN Interface nun eine Broad- und Multicast Last eines Endgeräte Segments mit 200 Geräten "vor die Nase" bekommt erzeugt jedes dieser Broad- und Multicast Pakete im Netz einen Interrupt am SoC denn dieser MUSS sich den Paketinhalt ansehen egal oder er für ihn ist oder nicht. Das zwingt den SoC dann in die Knie und Drucken wird quälend langsam. Kollege @maretz hat es oben ja umfassend erklärt.



Moin Moin,

wie vielleicht bekannt ist, ist mein Bereich Drucken ;-) face-wink

Ich frage mich wie hier so oft das Märchen vom Übernehmen des Druckers kommt..
Ja, bevor es meine Arbeit wurde hätte Ich es wahrscheinlich auch gesagt :-) face-smile
Aber,
wie Aqui so schön ausführt:
ALLE MFP sind sehr knapp kalkuliert !

Die haben Ihre Parameter plus etwas Reserve, und das war es.
Auch an Platz.
Auch wenn die eine HDD drinnen haben.
Ich will nicht sagen das so etwas NIE möglich ist !
Aber es ist so aufwendig..
Es gibt viel einfachere Wege in das Netz zu kommen, siehe PrintNightmare.
Und da sind nicht die Hersteller die Ursache ;-) face-wink

Davon abgesehen.
Ich empfehle auch die Drucker in ein separates VLAN zu packen.
Denn es gibt sehr oft Probleme mit den managebaren Switchen.
Drucker verhalten sich komplett anders als PCs.
Und sehr oft sind die Switche nicht darauf eingestellt.
Deswegen empfehle Ich die Drucker zum einen HW seitig zu kanalisieren,
das nur diese MFP die Ports nutzen können,
zum anderen halt auch mit VLAN alles dicht zu machen.
So ein MFP benötigt nur 2 Schnittstellen nach draußen:
Printserver und Mailserver, Für scan2Mail.
Oder ein Print&Follow System das beides macht :-) face-smile
So bringt es auch niemandem etwas das Kabel zu ziehen und zu nutzen, auch wenn vieles andere an Sicherheit nicht klappt / deaktiviert ist ;-) face-wink

(Der Fall mit der "Übernahme" des MFP durch ein Fax vor ca 3 Jahren.
Das waren zum einen nicht viele die es betraf, es ging nur mit einem HP Farb-Befehl.
Zum anderen konnte nur etwas, was zugegebenermaßen nicht vom MFP war, dort abgelegt werden.
Weiter kamen sie nicht nach meinen Infos. Ok, man kann so etwas ins Netz reinliefern zum abholen, aber nur bei wenigen Systemen.)


Ein weiterer VLAN Vorteil, ganz primitiv, wenn einmal die Kommunikation mir den Treibern richtig schön schief läuft, wie hier aufgeführt wurde schon.
Und auch, ja, der Schutz der MFP.

Es gibt Befehle, Scripte, in PostScript, die so einen MFP "zerreißen" können.
Damit kann man jeden Aspekt Steuern. Und bei den Temperaturen und Drehzahlen der Rollen kann Ich mir vorstellen wie das durch entsprechende Befehle gegeneinander arbeitet.
Durch einen Printserver wird das schon schwerer, und mit einem Print&Follow System noch mehr.
Mitglied: SirClickALot
SirClickALot 04.11.2021 um 12:32:28 Uhr
Goto Top
"Nichts ist schlimmer in der IT als gewachsene Strukturen." -> MÖÖP!!!! Nichts ist schlimmer als ein Admin, der sich nicht zurecht findet!!!
Mitglied: aqui
aqui 05.11.2021 um 11:15:25 Uhr
Goto Top
🤣 👍
Mitglied: Kostas
Kostas 05.11.2021 um 16:02:24 Uhr
Goto Top
Hallo Zusammen,

meine Hauptsorge war eben dass ich nicht wusste ob VLANs generell Probleme bereiten können. Nachdem es eben kein Problem ist, ist alles gut.

Gruß Kostas
Mitglied: aqui
aqui 05.11.2021 um 16:12:01 Uhr
Goto Top
Bitte dann auch nicht vergessen den Thread als erledigt zu schliessen !!
https://administrator.de/faq/32
Mitglied: Kostas
Kostas 05.11.2021 um 16:31:17 Uhr
Goto Top
Dankeschön für den Hinweis, habe ich gleich gemacht.