Sind viele VLANs problematisch?

der ist fies....
Frank

@Kostas
Du musst entscheiden, was du Absichern musst.
Generell wurden im letzten Monat, mehrere Thread über Sinn und Unsinn von VLAN eröffnet.

@Vision2015
Thats Life
Standard ist Standard
Kann ja auch nix dafür.

Falls es eng wird … zählt da das Default eigentlich dazu?

Es macht aber schon einen Unterschied, über welche Menge wir sprechen. Nach dem, was Du eingangs schreibst, sind es gerade mal 4 VLANs? Oder ist dies nur ein Ausschnitt? Bei so wenigen VLANs kann es eigentlich keine Performance-Probleme geben und jede Hardware langweilt sich, es sei denn, es ist die kleinste Sophos, viele Hundert User an entsprechend vielen Clients, Serverfarm mit 100 Servern, 1000 VOIP-Telefone und 500 Drucker. Dann wäre die Sophos ggf. ein Nadelöhr.

Ansonsten macht die VLAN-Segmentierung natürlich immer Sinn. Drucker mit veralteter Firmware, die angegriffen und übernommen werden kann, können bspw. nicht mehr wild im Produktivnetz herumspuken. WLANs für Mitarbeiter, Gäste, Techniker etc. lassen sich sauber trennen (nur Internet, Internet und Teile internes Netz, nur internes Netz etc.).

Selbst IT-technisch kleine Netzwerkumgebungen werden sinnvollerweise in verschiedene VLANs (schnell >20) aufgeteilt, wenn es die Unternehmung sinnvollerweise erfordert.

Beispiel: ein kleines Hotel.
Hier benötigen Gäste Internetzugriff, aber sonst natürlich gar nichts. Das Musiknetz sollte autark laufen und benötigt bspw. bei Sonos Internetzugriff, hat aber im internen Netz nichts verloren. Mitarbeiter möchten "privates" WLAN = nur Internet (falls nicht im Gäste-Netz), Dienst-Geräte benötigen im eigenen WLAN Zugriff auf das Produktivnetz. Produktivnetz, Server, Kameranetz, Backupnetz, Management-Netz, Maschinen-Netz (Küchenmaschinen mit Onlineanbindung z.B.), Informations-Netz (Gästeinformationen auf eigenen Servern). Da kommt schnell einiges zusammen.
Und das selbst dann, wenn da vor Ort vielleicht nur 3-5 PCs stehen und 10-15 Mann da arbeiten.
Aber hier bestimmen Sicherheitsanforderungen die Unterteilung, und wenn die moderne Technik = VLANs das ermöglicht, dann sollte man auch Gebrauch davon machen.

Gruß

DivideByZero

Moin,


Nichts ist schlimmer in der IT als gewachsene Strukturen.


Server sollten besonders geschützt werden. Also gehören sie auch gegenüber dem Rest der IT-Struktur hinter eine Firewall. Also eigenes Netz.


Die müssen ja auch irgendwie versorgt werden.


Oh wären wir froh gewesen, wenn wir die in einem eigenen Netz gehabt hätten, als mal einer anfing braune Masse ins Netz zu senden und so das gesamte Clientnetz runtergerissen hat. Zum einen hätten wir gewusst, dass es ein Drucker ist, was die Suche auf etwa zehn Geräte beschränkt hätte. Zum anderen hätten die Kolleginnen und Kollegen weiterarbeiten können. Drucker in ein eigenes Netz zu sperren, halte ich seit dem für äußerst sinnvoll.


Die VoIP-Anlage steht ziemlich nackig im Netz. Außerdem braucht man dafür Portfreigaben, die Löcher in die Firewall bohren. Sowas gehört in eine DMZ. BTW: Bei Deiner Auflistung vermisse ich die DMZ für Hop-Server und die DMZ für öffentlich erreichbare Rechner wie z. B. den Web- und den Emailserver.

Außerdem kommt bei VoIP hinzu, dass das recht schnelle Netze braucht. Ein eigenes Netz ist da sehr hilfreich. Sonst kann die Firma nicht mehr telefonieren, wenn irgendwas das Netz auslastet (s. o. das Druckerbeispiel)


Bisher war da aber noch kein Mist. Und es geht nicht nur um Sicherheit. Es geht auch um Funktionalität.


Das habe ich oben beantwortet.


Ja und?


Hä? Drucker per DHCP ansteuern. Nö.


Dann brauchst Du eine leistungsfähigere FW.


Nicht wenn der/die Router und FWs leistungsfähig genug sind. Was aber ein Netz wirklich langsam macht, sind zu viele Clients (wobei aus der Sicht auch Server und Drucker Clients sind). Irgendwann sind die Switches dann nur noch mit Broadcasts und Pufferüberläufen beschäftigt. Schon allein deswegen ist es sinnvoll, die Broadcastdomains klein zu halten. Dabei kommt es natürlich immer darauf an, welche Geräte und welche Anwendungen.

Liebe Grüße

Erik

Erst mal - ich würde mal behaupten das du ganz andere Probleme hast wenn die performance runtergeht wenn zwischen VLANs geroutet wird und du was gewinnst um "kleine" Bereiche wie Drucker rausnimmst. Das sollte die Firewall machen ohne das dort was warm wird. Es macht aber trotzdem Sinn das so zu machen:
- Das eine ist wenn eben der Drucker mal irgendwie übernommen wird. Das kann passieren, ist aber normal eher unwahrscheinlich.
- Viel wahrscheinlicher ist: Der Azubi findet raus das er ja seinen (privaten) Laptop an den Port hängen kann und dann der Download ausm Internet auch wieder klappt (bei nem eigenem VLAN kann man ja durchaus auch in der FW sagen das die Drucker als Beispiel keinen Internet-Zugriff benötigen und eben auch NUR auf den Printserver kommen können).

Bei VoIP würde ich z.B. immer ein eigenes VLAN nehmen. Das hat auch eher techn. Gründe: Der Traffic wäre im Netzwerk abgeschottet und ggf. priorisiert (um latenzen zu verhindern).

Dazu würde ich sogar noch nen Mgmt-Netz machen - für Switches, Accesspoints,... - Equipment wo eben auf die Mgmt-Oberfläche nur von den Admin-Stationen nen Zugriff möglich ist.

Ob du jetzt nen DHCP (ggf. mit static leases, was durchaus Sinn machen kann) zentral machst oder nicht spielt dabei keine Rolle, das ist nen simpler Helper der jetzt auch nich viel Performance nimmt.

Ich würde sogar überlegen - je nach Grössenordnung der Abteilungen - da noch zu unterteilen um zum einen die Broadcast-Domains überschaubar zu halten und zum anderem auch da die Prio einstellbar zu haben. Nehmen wir mal an du hast die Abteilung "Marketing" die permanent 100-GB-Weise die Videos mit irgendeinem Cloud-Dienst abgleicht - dann wäre es da ggf. zu überlegen über nen Limit dafür zu sorgen das trotzdem noch für alle anderen genug Bandbreite zum Arbeiten bleibt (z.B. Tagsüber während der Arbeitszeit die Leitung einschränken und Nachts wenn keiner das nutzt freigeben).

Es hängt also wie meistens von deiner Umgebung ab was genau Sinn macht. Aber generell würde ich eher Unterteilen als Zusammenfassen.

Moin @Visucius,
Gute Frage. Jedoch kenne ich kein allgemeingültiges "Default VLAN". Entweder sind die Bits gesetzt oder es ist kein VLAN

Kann aber durchaus Sinn machen. Jeder gute und verantwortungsvolle Netzwerk Admin kennt die Regel nie mehr als 150 Endgeräte +- in eine Layer 2 Broadcast Domain zu packen um die Broad- und Multicast Last gering zu halten und damit die Performance des gesamten Netzes hoch.
Eine Segmentierung ist also immer sinnvoll nicht nur aus Security Sicht. Es gibt viele andere gute Gründe dafür !
Drucker haben meist billige und schwachbrüstige SoCs verbaut zur Steuerung. Wenn so ein Drucker LAN Interface nun eine Broad- und Multicast Last eines Endgeräte Segments mit 200 Geräten "vor die Nase" bekommt erzeugt jedes dieser Broad- und Multicast Pakete im Netz einen Interrupt am SoC denn dieser MUSS sich den Paketinhalt ansehen egal oder er für ihn ist oder nicht. Das zwingt den SoC dann in die Knie und Drucken wird quälend langsam. Kollege @maretz hat es oben ja umfassend erklärt.
Soweit hast du mit deinem Netzwerk Horizont vermutlich noch gar nicht gedacht, oder ?
Völliger Quatsch, denn so ein segmentiertes Netz betreibt man immer mit einem zentralen DHCP Server und DHCP Relay / Forwarding (DHCP Helper). Solche einfachen Basics solltest du als Netzwerk Admin eigentlich auch ohne einen Foren Thread wissen.
Nein, das Gegenteil ist der Fall. Größere Netze bestehen aus 30 VLANs und mehr. Nur damit du mal abschätzen kannst wo du dich so bewegst mit deiner Handvoll...
Alles andere erklärt dir das hiesige VLAN_Tutorial und seine weiterführenden Links.

Naja, ich hatte das "oanser" im Blick. Aber damit ergibt sich die Antwort eigentlich auch schon von selbst. Mist, wieder mal ein Fall von "erst denken, dann fragen"


Grundsätzlich mag das stimmen. Ich würde das aber doch von der HW abhängig machen. Jetzt sind meine bisherigen Kontakte mit Sophos eher negativ behaftet, und deswegen schrillen bei mir auch Alarmglocken, wenn ich z.B so nen Bullshit-Bingo wie "Dual processor architecture for an excellent price to performance ratio" (aktuelle xg86) lesen muss ... und auch nach 5 mal klicken weder Prozessor noch Speicher, sondern immer nur selbst kreierte "Performance-Daten" benannt bekomme, bei denen niemand den Testaufbau kennt.
Will dann ja lieber nicht wissen, was die z.B. im Vorgängermodell verbaut haben. Und bei den sonstigen Aufgaben, die das Ding (angeblich) alle managed, kann ich mir problemlos vorstellen, dass der Wechsel zwischen vLANs - der nirgends in den "Performance-Daten" auftaucht - "arschlangsam" ist, wenn das z.B. über SW gelöst wird. Bei meinem 800 Mhz Mikrotik reden wir da z.B. von 160 Mbit/s ... ohne große Nebenaufgaben und nur 2 aktiven Clients im Netz.

Moin,

Ob Du "jeden Mist" übe reine Firewall routen mußt, oder ob Du das über einen normalen Router laufen läßt ist Deien Entscheidung.

Man muß nicht alles strikt gegeneinander abtrennen, aber manchmal ist es doch sinnvoll, wenn z.B. die User nicht die Drucker direkt ansteuern können, sondern die Jobs über den Printserver laufen lassen müssen.

Es ist einfach eine Frage des Konzeptes, das Du vorher Dir überlegst und umsetzt.

Die Frage ist auch, wieviel Geräte jeweils in den VLANs stecken. Wenn Du nur einen Server eine handvoll Drucker und ein Dutzend Arbeitsstationen hast, kann es durchaus sinnvoll sein, gar keine VLANs einzusetzen, wenn nicht irgendwelche Sicherheitsanforderungen dafür sprechen. Es kann aber genauso sinnvoll sein, dafür jeweils extra VLANS zu machen, auch wenn es nicht einmal ein dutzend Geräte sein sollten.

Ein andere Konzept könnten z.B. auch "Abteilings-VLANs" sein, die nicht nach Geräten, sondern nach Abteilungen sortiert sind.

Das man Telefonie in ein eigenes VLAN mit passendem QoS steckt ist heutztage durchaus üblich.

Also: Es hängt von Dir selbst ab, ob und wie viele VLANs Du einsetzt.

lks

Moin Moin,

wie vielleicht bekannt ist, ist mein Bereich Drucken

Ich frage mich wie hier so oft das Märchen vom Übernehmen des Druckers kommt..
Ja, bevor es meine Arbeit wurde hätte Ich es wahrscheinlich auch gesagt
Aber,
wie Aqui so schön ausführt:
ALLE MFP sind sehr knapp kalkuliert !

Die haben Ihre Parameter plus etwas Reserve, und das war es.
Auch an Platz.
Auch wenn die eine HDD drinnen haben.
Ich will nicht sagen das so etwas NIE möglich ist !
Aber es ist so aufwendig..
Es gibt viel einfachere Wege in das Netz zu kommen, siehe PrintNightmare.
Und da sind nicht die Hersteller die Ursache

Davon abgesehen.
Ich empfehle auch die Drucker in ein separates VLAN zu packen.
Denn es gibt sehr oft Probleme mit den managebaren Switchen.
Drucker verhalten sich komplett anders als PCs.
Und sehr oft sind die Switche nicht darauf eingestellt.
Deswegen empfehle Ich die Drucker zum einen HW seitig zu kanalisieren,
das nur diese MFP die Ports nutzen können,
zum anderen halt auch mit VLAN alles dicht zu machen.
So ein MFP benötigt nur 2 Schnittstellen nach draußen:
Printserver und Mailserver, Für scan2Mail.
Oder ein Print&Follow System das beides macht
So bringt es auch niemandem etwas das Kabel zu ziehen und zu nutzen, auch wenn vieles andere an Sicherheit nicht klappt / deaktiviert ist

(Der Fall mit der "Übernahme" des MFP durch ein Fax vor ca 3 Jahren.
Das waren zum einen nicht viele die es betraf, es ging nur mit einem HP Farb-Befehl.
Zum anderen konnte nur etwas, was zugegebenermaßen nicht vom MFP war, dort abgelegt werden.
Weiter kamen sie nicht nach meinen Infos. Ok, man kann so etwas ins Netz reinliefern zum abholen, aber nur bei wenigen Systemen.)


Ein weiterer VLAN Vorteil, ganz primitiv, wenn einmal die Kommunikation mir den Treibern richtig schön schief läuft, wie hier aufgeführt wurde schon.
Und auch, ja, der Schutz der MFP.

Es gibt Befehle, Scripte, in PostScript, die so einen MFP "zerreißen" können.
Damit kann man jeden Aspekt Steuern. Und bei den Temperaturen und Drehzahlen der Rollen kann Ich mir vorstellen wie das durch entsprechende Befehle gegeneinander arbeitet.
Durch einen Printserver wird das schon schwerer, und mit einem Print&Follow System noch mehr.

"Nichts ist schlimmer in der IT als gewachsene Strukturen." -> MÖÖP!!!! Nichts ist schlimmer als ein Admin, der sich nicht zurecht findet!!!

🤣 👍

Bitte dann auch nicht vergessen den Thread als erledigt zu schliessen !!
Wie kann ich einen Beitrag als gelöst markieren?