Sinnvolle Netzwerkkonfiguration in Verbindung mit SophosUTM 9.3
Hallo Friends,
ich bin Systemadministrator in einem mittelständischen Unternehmen mit 250 Mitarbeitern, ca 100 PC-Clients und 10 Servern.
Ist zustand:
- ein IP-Adressbereich für alles (192.168.10.0/24)
- Sophos UTM (auf Sophos SG230) dient als Firewall, Proxy-Server, macht NAT und WLAN-AP-Verwaltung
Das soll sich aber ändern, denn wie wir alle wissen, ist es nicht gut alle Geräte in ein Subnetz zu werfen und außerdem werden die Adressen knapp so langsam :D
Jetzt ist die große Frage, wie ich unser Netzwerk sinnvoll umstelle, damit wir nachher mehr Sicherheit und mehr IP-Adressen bei gleichbleibender Performance und Funktionalität haben.
Ich habe dazu nun 2 Ansätze und will von Euch wissen, welcher der gebräuchlichere Wäre, bzw ob es noch einen Besseren gibt.
Ansatz 1:
- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht der zentral(st)e Switch anhand von VLAN-Interfaces, welche die Standard-Gateways der Clients in den VLANs sind
- Standard-Gateway des zentralen Switches ist die SophosUTM welche nur mit den Paketen in Berührung kommt, die im internen Netz keinen Emfpänger finden. Diese werden dann (ggf.) durch den Proxy und durch die Firewall ins große weite Internet geroutet.
- Die SophosUTM hängt dabei (evtl.) in einem separaten VLAN (?)
- Auf der SophosUTM wird die Rückroute von extern in die internen Netze konfiguriert
Ansatz 2:
- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht die SophosUTM anhand von VLAN-Interfaces, die auf dem physikalischen Interface der SophosUTM liegen, welches am zentralen Switch hängt.
- Dadurch lässt sich die Firewall auch zwischen die einzelnen VLAN's schalten
Nachteil müsste hier ja sein, dass jedes Paket, welches nicht im eigenen VLAN bleibt (also quasi ein Großteil der Pakete) über das eine Interface der SophosUTM muss... was diese Performancetechnisch eigentlich nicht aushalten könnte - macht dieser Ansatz dann überhaupt Sinn?
... hach, welche erkentnisse einem beim Schreiben seiner Probleme manchmal kommen...
Vielen Dank schonmal für alle Antworten und Tips!
Grüße, J.D.
ich bin Systemadministrator in einem mittelständischen Unternehmen mit 250 Mitarbeitern, ca 100 PC-Clients und 10 Servern.
Ist zustand:
- ein IP-Adressbereich für alles (192.168.10.0/24)
- Sophos UTM (auf Sophos SG230) dient als Firewall, Proxy-Server, macht NAT und WLAN-AP-Verwaltung
Das soll sich aber ändern, denn wie wir alle wissen, ist es nicht gut alle Geräte in ein Subnetz zu werfen und außerdem werden die Adressen knapp so langsam :D
Jetzt ist die große Frage, wie ich unser Netzwerk sinnvoll umstelle, damit wir nachher mehr Sicherheit und mehr IP-Adressen bei gleichbleibender Performance und Funktionalität haben.
Ich habe dazu nun 2 Ansätze und will von Euch wissen, welcher der gebräuchlichere Wäre, bzw ob es noch einen Besseren gibt.
Ansatz 1:
- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht der zentral(st)e Switch anhand von VLAN-Interfaces, welche die Standard-Gateways der Clients in den VLANs sind
- Standard-Gateway des zentralen Switches ist die SophosUTM welche nur mit den Paketen in Berührung kommt, die im internen Netz keinen Emfpänger finden. Diese werden dann (ggf.) durch den Proxy und durch die Firewall ins große weite Internet geroutet.
- Die SophosUTM hängt dabei (evtl.) in einem separaten VLAN (?)
- Auf der SophosUTM wird die Rückroute von extern in die internen Netze konfiguriert
Ansatz 2:
- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht die SophosUTM anhand von VLAN-Interfaces, die auf dem physikalischen Interface der SophosUTM liegen, welches am zentralen Switch hängt.
- Dadurch lässt sich die Firewall auch zwischen die einzelnen VLAN's schalten
Nachteil müsste hier ja sein, dass jedes Paket, welches nicht im eigenen VLAN bleibt (also quasi ein Großteil der Pakete) über das eine Interface der SophosUTM muss... was diese Performancetechnisch eigentlich nicht aushalten könnte - macht dieser Ansatz dann überhaupt Sinn?
... hach, welche erkentnisse einem beim Schreiben seiner Probleme manchmal kommen...
Vielen Dank schonmal für alle Antworten und Tips!
Grüße, J.D.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 262940
Url: https://administrator.de/forum/sinnvolle-netzwerkkonfiguration-in-verbindung-mit-sophosutm-9-3-262940.html
Ausgedruckt am: 20.12.2024 um 06:12 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
beide Varianten funktionieren.
Ansatz 1 ist performanter, Ansatz 2 sicherer.
Wenn du keine Kompromise bei Performance eingehen willst, ist es #1.
Das ist auch ausbaufähiger im LAN, also z.B. wenn du die Server mal per 10GE anbinden oder Storage-Systeme hinzufügen willst.
Es gibt durchaus Switches, die bis zu einem gewissen Grad ACLs können. Das ist jetzt nicht so detailiert, wie die UTM es mit ihrem IPS kann, aber im LAN häufig ausreichend. Was da möglich ist, hängt aber davon ab, welche Switch-Hardware ihr habt.
Gruß
beide Varianten funktionieren.
Ansatz 1 ist performanter, Ansatz 2 sicherer.
Wenn du keine Kompromise bei Performance eingehen willst, ist es #1.
Das ist auch ausbaufähiger im LAN, also z.B. wenn du die Server mal per 10GE anbinden oder Storage-Systeme hinzufügen willst.
Es gibt durchaus Switches, die bis zu einem gewissen Grad ACLs können. Das ist jetzt nicht so detailiert, wie die UTM es mit ihrem IPS kann, aber im LAN häufig ausreichend. Was da möglich ist, hängt aber davon ab, welche Switch-Hardware ihr habt.
Gruß
Die Frage, und das weisst du sicher selber wenn du mal nachdenkst, kann man nicht sinnvoll und zielführend beantworten wenn mein dein Budget nicht kennt !!
Grundsätzlich muss man dazu wissen ob dir dann Premium Hersteller alao Cisco, Extreme, Juniper, Brocade usw. mit Service wichtig sind oder du lieber auf die Billiganbieter schielst.
Kompromiss sind auch sog. Billigschienen der Premium Hersteller wie z.B. Cisco SG300 oder SG500 bei geringerem Budget.
Final also immer die Frage wie wichtig und zuverlässig dir deine Netzwerk Infrastruktur ist, denn das sollte bestimmen welche HW du einsetzt ?!
Grundsätzlich muss man dazu wissen ob dir dann Premium Hersteller alao Cisco, Extreme, Juniper, Brocade usw. mit Service wichtig sind oder du lieber auf die Billiganbieter schielst.
Kompromiss sind auch sog. Billigschienen der Premium Hersteller wie z.B. Cisco SG300 oder SG500 bei geringerem Budget.
Final also immer die Frage wie wichtig und zuverlässig dir deine Netzwerk Infrastruktur ist, denn das sollte bestimmen welche HW du einsetzt ?!