6
Sinnvolle Netzwerkkonfiguration in Verbindung mit SophosUTM 9.3
Hallo Friends,
ich bin Systemadministrator in einem mittelständischen Unternehmen mit 250 Mitarbeitern, ca 100 PC-Clients und 10 Servern.
Ist zustand:
- ein IP-Adressbereich für alles (192.168.10.0/24)
- Sophos UTM (auf Sophos SG230) dient als Firewall, Proxy-Server, macht NAT und WLAN-AP-Verwaltung
Das soll sich aber ändern, denn wie wir alle wissen, ist es nicht gut alle Geräte in ein Subnetz zu werfen und außerdem werden die Adressen knapp so langsam :D
Jetzt ist die große Frage, wie ich unser Netzwerk sinnvoll umstelle, damit wir nachher mehr Sicherheit und mehr IP-Adressen bei gleichbleibender Performance und Funktionalität haben.
Ich habe dazu nun 2 Ansätze und will von Euch wissen, welcher der gebräuchlichere Wäre, bzw ob es noch einen Besseren gibt.
Ansatz 1:
- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht der zentral(st)e Switch anhand von VLAN-Interfaces, welche die Standard-Gateways der Clients in den VLANs sind
- Standard-Gateway des zentralen Switches ist die SophosUTM welche nur mit den Paketen in Berührung kommt, die im internen Netz keinen Emfpänger finden. Diese werden dann (ggf.) durch den Proxy und durch die Firewall ins große weite Internet geroutet.
- Die SophosUTM hängt dabei (evtl.) in einem separaten VLAN (?)
- Auf der SophosUTM wird die Rückroute von extern in die internen Netze konfiguriert
Ansatz 2:
- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht die SophosUTM anhand von VLAN-Interfaces, die auf dem physikalischen Interface der SophosUTM liegen, welches am zentralen Switch hängt.
- Dadurch lässt sich die Firewall auch zwischen die einzelnen VLAN's schalten
Nachteil müsste hier ja sein, dass jedes Paket, welches nicht im eigenen VLAN bleibt (also quasi ein Großteil der Pakete) über das eine Interface der SophosUTM muss... was diese Performancetechnisch eigentlich nicht aushalten könnte - macht dieser Ansatz dann überhaupt Sinn?
... hach, welche erkentnisse einem beim Schreiben seiner Probleme manchmal kommen...
Vielen Dank schonmal für alle Antworten und Tips!
Grüße, J.D.
ich bin Systemadministrator in einem mittelständischen Unternehmen mit 250 Mitarbeitern, ca 100 PC-Clients und 10 Servern.
Ist zustand:
- ein IP-Adressbereich für alles (192.168.10.0/24)
- Sophos UTM (auf Sophos SG230) dient als Firewall, Proxy-Server, macht NAT und WLAN-AP-Verwaltung
Das soll sich aber ändern, denn wie wir alle wissen, ist es nicht gut alle Geräte in ein Subnetz zu werfen und außerdem werden die Adressen knapp so langsam :D
Jetzt ist die große Frage, wie ich unser Netzwerk sinnvoll umstelle, damit wir nachher mehr Sicherheit und mehr IP-Adressen bei gleichbleibender Performance und Funktionalität haben.
Ich habe dazu nun 2 Ansätze und will von Euch wissen, welcher der gebräuchlichere Wäre, bzw ob es noch einen Besseren gibt.
Ansatz 1:
- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht der zentral(st)e Switch anhand von VLAN-Interfaces, welche die Standard-Gateways der Clients in den VLANs sind
- Standard-Gateway des zentralen Switches ist die SophosUTM welche nur mit den Paketen in Berührung kommt, die im internen Netz keinen Emfpänger finden. Diese werden dann (ggf.) durch den Proxy und durch die Firewall ins große weite Internet geroutet.
- Die SophosUTM hängt dabei (evtl.) in einem separaten VLAN (?)
- Auf der SophosUTM wird die Rückroute von extern in die internen Netze konfiguriert
Ansatz 2:
- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht die SophosUTM anhand von VLAN-Interfaces, die auf dem physikalischen Interface der SophosUTM liegen, welches am zentralen Switch hängt.
- Dadurch lässt sich die Firewall auch zwischen die einzelnen VLAN's schalten
Nachteil müsste hier ja sein, dass jedes Paket, welches nicht im eigenen VLAN bleibt (also quasi ein Großteil der Pakete) über das eine Interface der SophosUTM muss... was diese Performancetechnisch eigentlich nicht aushalten könnte - macht dieser Ansatz dann überhaupt Sinn?
... hach, welche erkentnisse einem beim Schreiben seiner Probleme manchmal kommen...
Vielen Dank schonmal für alle Antworten und Tips!
Grüße, J.D.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 262940
Url: https://administrator.de/contentid/262940
Printed on: April 24, 2024 at 10:04 o'clock
6 Comments
Latest comment
Hallo,
beide Varianten funktionieren.
Ansatz 1 ist performanter, Ansatz 2 sicherer.
Wenn du keine Kompromise bei Performance eingehen willst, ist es #1.
Das ist auch ausbaufähiger im LAN, also z.B. wenn du die Server mal per 10GE anbinden oder Storage-Systeme hinzufügen willst.
Es gibt durchaus Switches, die bis zu einem gewissen Grad ACLs können. Das ist jetzt nicht so detailiert, wie die UTM es mit ihrem IPS kann, aber im LAN häufig ausreichend. Was da möglich ist, hängt aber davon ab, welche Switch-Hardware ihr habt.
Gruß
beide Varianten funktionieren.
Ansatz 1 ist performanter, Ansatz 2 sicherer.
Wenn du keine Kompromise bei Performance eingehen willst, ist es #1.
Das ist auch ausbaufähiger im LAN, also z.B. wenn du die Server mal per 10GE anbinden oder Storage-Systeme hinzufügen willst.
Es gibt durchaus Switches, die bis zu einem gewissen Grad ACLs können. Das ist jetzt nicht so detailiert, wie die UTM es mit ihrem IPS kann, aber im LAN häufig ausreichend. Was da möglich ist, hängt aber davon ab, welche Switch-Hardware ihr habt.
Gruß
1
Bei der Netzwerkgröße ist der Ansatz 1 besser.
Gute L3 Switches bieten heute die Option von Accesslisten mit denen sich eine grundlegende Sicherheit schaffen lässt.
Die Sophos ist viel zu klein um performantes VLAN Routing skalierbar zu realisieren.
Besser also du verfolgst Option 1.
Gute L3 Switches bieten heute die Option von Accesslisten mit denen sich eine grundlegende Sicherheit schaffen lässt.
Die Sophos ist viel zu klein um performantes VLAN Routing skalierbar zu realisieren.
Besser also du verfolgst Option 1.
1
Sehr geil, vielen Dank Euch beiden! Das bestätigt meinen Gedankengang.
Mein Zentralswitch wäre momentan ein HP 2530-48G - funktionell wäre der höchstwarscheinlich ausreichend. Was wäre aber der Unterschied zu einem Switch (z.B. von HP) der über 1000€ liegt? Gibt es da wesentliche Vorteile, die eine Investition rechtfertigen würden?
Grüße, JD
Mein Zentralswitch wäre momentan ein HP 2530-48G - funktionell wäre der höchstwarscheinlich ausreichend. Was wäre aber der Unterschied zu einem Switch (z.B. von HP) der über 1000€ liegt? Gibt es da wesentliche Vorteile, die eine Investition rechtfertigen würden?
Grüße, JD
wäre momentan ein HP 2530-48G
Igitt...schon wieder HP. Keine gute Wahl bei Layer 3 denn da ist HP traditionell sehr schwach....jedenfalls mit den billigen ProCurve Produkten.Sieh lieber mal über den Horizont auf andere Hersteller die das besser können.
Alles klar, ja hab ich auch schon gehört, dass das nicht das gelbe vom Ei ist. Ich tendiere gerade auch eher in Richtung eines "richtigen" Layer 3 Core-Switches, also einen mit SFP-Ports der dann eben auch das Routing übernimmt. Gibt es da beliebte Modelle / Empfehlungen für unsere Unternehmensgröße?
Guß, JD
Guß, JD
Die Frage, und das weisst du sicher selber wenn du mal nachdenkst, kann man nicht sinnvoll und zielführend beantworten wenn mein dein Budget nicht kennt !!
Grundsätzlich muss man dazu wissen ob dir dann Premium Hersteller alao Cisco, Extreme, Juniper, Brocade usw. mit Service wichtig sind oder du lieber auf die Billiganbieter schielst.
Kompromiss sind auch sog. Billigschienen der Premium Hersteller wie z.B. Cisco SG300 oder SG500 bei geringerem Budget.
Final also immer die Frage wie wichtig und zuverlässig dir deine Netzwerk Infrastruktur ist, denn das sollte bestimmen welche HW du einsetzt ?!
Grundsätzlich muss man dazu wissen ob dir dann Premium Hersteller alao Cisco, Extreme, Juniper, Brocade usw. mit Service wichtig sind oder du lieber auf die Billiganbieter schielst.
Kompromiss sind auch sog. Billigschienen der Premium Hersteller wie z.B. Cisco SG300 oder SG500 bei geringerem Budget.
Final also immer die Frage wie wichtig und zuverlässig dir deine Netzwerk Infrastruktur ist, denn das sollte bestimmen welche HW du einsetzt ?!
