j.hart
Goto Top

Sinnvolle Segmentierung des Netzwerks in mehrere VLANs

Hallo zusammen,

vorab: Ich bin kein ausgebildeter IT-Systemintegrator oder Netzwerkadministrator, bin aber im IT Umfeld tätig.
Nachdem ich viele Jahre mit einem Linksys WRT54GL@tomato meine Bedürfnisse im Umfeld meines Netzwerks zufriedenstellen konnte, musste ich durch den Umstieg zu VDSL auf andere Hardware ausweichen. Zunächst nutzte ich eine Fritzbox 7390, allerdings bemerkte ich schnell, dass diese mir nicht die Flexibilität eines WRT Routers bieten konnte. Deshalb entschied ich mich nach einiger Zeit dazu auf einen »PCEngines APU@pfSense Router« umzuschwenken.
Im Rahmen des Umstiegs und auf Grund der VLAN Verfügbarkeit unter pfSense, bot es sich an, das Netzwerk neu zu strukturieren. Bisher habe ich noch nicht mit VLANs gearbeitet. Ein theoretisches Basiswissen zum Thema VLAN habe ich mir über diverse Quellen angeeignet. U.a. fand ich diese Artikel für den Einstieg recht informativ und hilfreich:


Trotzdem entstehen nun zu dem Thema VLAN, aber auch zur Planung des Netzwerks und zu Netzwerken im Allgemeinen, einige Fragen. Die nachstehende Beschreibung behandelt ein privates Netzwerk.

  • Dienste: ISP
    • VDSL
    • VOIP
    • IPTV

  • Hardware Infrastruktur: Netzwerkkomponenten
    • Accesspoint_01: 5 Ghz
    • Accesspoint_02: 2,4 Ghz
    • Modem: VDSL Modem
    • Router: PCEngines APU2C4@pfSense (WAN, LAN1, OPT1)
    • Switch: Cisco SG300-10MP

  • Hardware Infrastruktur: VOIP
    • PBX

  • Hardware Infrastruktur: Server
    • Fileserver_01
    • Fileserver_02

  • Hardware: LAN clients
    • Desktops
    • Settopboxes
    • HTPC
    • Spielekonsolen

  • Hardware: WLAN clients
    • Smartphones

  • Hardware: LAN/WLAN hybrid clients
    • Laptops
    • Gäste

  • IP Adressen: static
    • Hardware Infrastruktur

  • IP Adressen: DHCP (static)
    • LAN clients
    • WLAN clients
    • LAN/WLAN hybrid clients: Laptops

  • IP Adressen: DHCP (dynamic)
    • LAN/WLAN hybrid clients: Gäste

Obwohl der Switch ein Layer 3 Switch ist, möchte ich das Inter-VLAN-Routing von pfSense übernehmen lassen und den Switch nur im Layer 2 Modus betreiben. Dadurch lassen sich die Zugriffsrechte über die Firewall granular regulieren - Möglichkeiten, welche der Switch m.E. nicht bietet.
Ich weiß, dass an dieser Stelle auch ein Switch der SG200 Serie ausreichend gewesen wäre. Allerdings konnte ich den PoE Switch für nur ca. 100 € erstehen.

Dynamische IP Adressen, Host- und Domainnamen sollen, falls möglich, zentral über den Switch verwaltet werden, alternativ über pfSense - zumindest bietet der Switch einen DHCP Server, der mir auf den ersten Blick sympathischer als der DHCP Server des Routers erscheint. Selbiges trifft auf das DNS zu.

Die Größe der Subnetze der VLANs würde ich so klein wie möglich aber so groß wie nötig dimensionieren. Unsicherheit herrscht über die Strukturierung des Netzwerks in verschiedene VLANs.

  • Wie geht man dabei vor, gibt es da im professionellen Umfeld festehende Regeln oder Daumenregeln?
  • Gliedert man nach LAN, WLAN, Protokolle oder Dienste?
  • Ich vermute, dass es solche Regeln nicht gibt und eine Strukturierung sehr individuel mit den jeweiligen Zielen in Verbindung steht?
  • Wie nennt man eigentlich den Bereich der nicht in einem VLAN liegt? LAN?
  • Hat VLAN1 damit etwas zu tun?
  • Welche Konsequenz haben VLANs auf den Multicast Traffic von Avahi/Bonjour?
  • VOIP in ein eigenes VLAN? Macht das Sinn, wenn man zur PBX auch Softphones nutzt?

Ohne konkrete Antworten auf meine Fragen zu haben, habe ich mir trotzdem einen Aufteilung überlegt.

  1. VLAN10@management
    • Netzwerkkomponenten
    • PBX
  2. VLAN20@servers
  3. VLAN30@iptv
    • Settopboxes
  4. VLAN40@gaming
    • Spielekonsolen
  5. VLAN50@lan_clients
  6. VLAN60@wlan_clients
  7. VLAN70@guests

Macht diese Aufteilung Sinn? Was würdet Ihr ggf. anders machen?
Wie Ihr Euch denken könnt, bin ich natürlich für jeglichen konstruktiven Input dankbar. ;)

Gruß

Content-ID: 312708

Url: https://administrator.de/forum/sinnvolle-segmentierung-des-netzwerks-in-mehrere-vlans-312708.html

Ausgedruckt am: 25.12.2024 um 15:12 Uhr

aqui
aqui 16.08.2016 um 10:17:03 Uhr
Goto Top
Ein theoretisches Basiswissen zum Thema VLAN
Ist auch in diesem Tutorial behandelt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Aber da bist du ja schon fit... face-wink
Dadurch lassen sich die Zugriffsrechte über die Firewall granular regulieren - Möglichkeiten, welche der Switch m.E. nicht bietet.
Mmmhhh...hast du mal ins Handbuch des Switches gesehen ?? Jeder L3 Switch bitete Accesslisten. Damit ist eine Zugriffsregelung dann auch möglich.
Generell gesehen ist die Routing Funktion auf einem L3 Switch perfromanter, da die Pakete ja nicht doppelt und für alle VLANs durch einen .1q Trunk zum Router gehen.
Nachteil ist das die ACLs nicht stateful sind. Da hat die FW einen Vorteil.
Dynamische IP Adressen, Host- und Domainnamen sollen, falls möglich, zentral über den Switch verwaltet werden
Das ist bei IPs sehr oft nicht möglich, denn dann müsste der Switch multiple DHCP Server supporten. Billige Websmart Switches können das in der Regel nicht. Mit DHCP Nailing usw. hat die pfSense da auch mehr Optionen.
Wie geht man dabei vor, gibt es da im professionellen Umfeld festehende Regeln oder Daumenregeln?
Ja und nein...
Normal strukturiert man da wo man muss aus Sicherheitsgründen. In der ersten Linie also Voice Netze (Vertraulichkeit) und WLANs (Sicherheit und Abtrennung vom Produktivlan), Gastnetze.
Der Rest orientiert sich dann oft nach Gebäudetopologie, Organisationsstrukturen, Abteilungen, RZ, Tennants DMZ, WAN Zugang, usw.
Gliedert man nach LAN, WLAN, Protokolle oder Dienste?
Siehe oben...
Ich vermute, dass es solche Regeln nicht gibt und eine Strukturierung sehr individuel mit den jeweiligen Zielen in Verbindung steht?
Der Kandidat hat 99 Punkte....
Wie nennt man eigentlich den Bereich der nicht in einem VLAN liegt? LAN?
Die Frage ist technischer Unsinn, denn in einem VLAN strukturierten Netz liegt irgendwie alles in irgendeinem VLAN und wenns auch das Default VLAN 1 ist. In sofern ist die Frage unlogisch !
Hat VLAN1 damit etwas zu tun?
Hat was mit was bitte zu tun. Ob heute abend das Licht angeschlatet wird ?? Frage unverständlich.
Welche Konsequenz haben VLANs auf den Multicast Traffic von Avahi/Bonjour?
Sollte man als Netzwerker eigentlich wissen. VLANs sind getrennte Layer 2 Broadcast Domains. Folglich sind also Multicasting usw. auf diese Domains beschränkt.
Um VLAN übergreifend zu kommunizieren benötigst du dann Routing oder auch Multicast Routing (PIM Sparse / Dense, IGMP). Bei Link local Multicasts mit TTL=1 benötigst du einen Proxy:
Netzwerk Management Server mit Raspberry Pi
VOIP in ein eigenes VLAN? Macht das Sinn, wenn man zur PBX auch Softphones nutzt?
Macht absolut Sinn ! In einem Formennetzwerk bist du aufgrund der Vertraulichkeit der Telekommunikation rechtlich sogar dazu verpflichtet.
habe ich mir trotzdem einen Aufteilung überlegt.
Macht absolut Sinn und ist eine richtige Segmentierung.
j.hart
j.hart 16.08.2016 um 12:56:32 Uhr
Goto Top
Ein theoretisches Basiswissen zum Thema VLAN
Ist auch in diesem Tutorial behandelt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Aber da bist du ja schon fit... face-wink
Wie erwähnt - vorhanden ist ein theoretisches Basiswissen. Als fit würde ich mich selbst nicht bezeichnen. Das belegt die Existenz meines Beitrags. ;)
Aber vielen Dank für die Bestätigung des Links, den hatte ich mir bereits als Anleitung für die praktische Durchführung zurechtgelegt!

Dadurch lassen sich die Zugriffsrechte über die Firewall granular regulieren - Möglichkeiten, welche der Switch m.E. nicht bietet.
Mmmhhh...hast du mal ins Handbuch des Switches gesehen ?? Jeder L3 Switch bitete Accesslisten. Damit ist eine Zugriffsregelung dann auch möglich.
Generell gesehen ist die Routing Funktion auf einem L3 Switch perfromanter, da die Pakete ja nicht doppelt und für alle VLANs durch einen .1q Trunk zum Router gehen.
Nachteil ist das die ACLs nicht stateful sind. Da hat die FW einen Vorteil.
An welchen Kriterien würde man es festmachen welcher Weg - Inter-Vlan-Routing über L3 Switch vs. Router - für einen geeigneter ist?

Dynamische IP Adressen, Host- und Domainnamen sollen, falls möglich, zentral über den Switch verwaltet werden
Das ist bei IPs sehr oft nicht möglich, denn dann müsste der Switch multiple DHCP Server supporten. Billige Websmart Switches können das in der Regel nicht. Mit DHCP Nailing usw. hat die pfSense da auch mehr Optionen.
Verstehe, zu diesen Anforderungen werde ich nochmal recherchieren müssen.

Wie nennt man eigentlich den Bereich der nicht in einem VLAN liegt? LAN?
Die Frage ist technischer Unsinn, denn in einem VLAN strukturierten Netz liegt irgendwie alles in irgendeinem VLAN und wenns auch das Default VLAN 1 ist. In sofern ist die Frage unlogisch !
Hypothetisches Beispiel:
  • VLAN1@SwitchPort1-4: 192.168.1.0/24
  • VLAN10@SwitchPort5: 192.168.10.0/24
  • VLAN20@SwitchPort6: 192.168.20.0/24
  • Client1@SwitchPort7: 10.0.0.100/24
  • Client2@SwitchPort8: 10.0.0.200/24

Wie nennt sich das Segment in dem Client{1,2} miteinander kommunizieren? Native VLAN, default VLAN (ist ja eigentlich VLAN1), LAN?
Gibt es etwa auch ohne einen Layer 2 Switch ein default/native VLAN(1) irgendwo »under-the-hood« im OSI-Modell?

Hat VLAN1 damit etwas zu tun?
Hat was mit was bitte zu tun. Ob heute abend das Licht angeschlatet wird ?? Frage unverständlich.
Diese Frage bezog sich ergänzend auf die vorhergehende Frage.
Nebenbei: https://de.wikipedia.org/wiki/Plenk

Welche Konsequenz haben VLANs auf den Multicast Traffic von Avahi/Bonjour?
Sollte man als Netzwerker eigentlich wissen.
WIe bereits eingangs erwähnt, ich bin kein Netzwerker. Dieser Hinweis und auch die Information über meinen Kenntnisstand zur Thematik »VLAN« sollte dem Profi die Möglichkeit geben mich einzuordnen. ^^

VLANs sind getrennte Layer 2 Broadcast Domains. Folglich sind also Multicasting usw. auf diese Domains beschränkt.
Um VLAN übergreifend zu kommunizieren benötigst du dann Routing oder auch Multicast Routing (PIM Sparse / Dense, IGMP). Bei Link local Multicasts mit TTL=1 benötigst du einen Proxy:
Netzwerk Management Server mit Raspberry Pi
Ok, das habe ich nun verstanden. Avahi selbst (iirc verfügbar als pfSense Paket) scheint mit der Option `reflector` eine Möglichkeit zu bieten diesem Umstand zu begegnen, siehe:


VOIP in ein eigenes VLAN? Macht das Sinn, wenn man zur PBX auch Softphones nutzt?
Macht absolut Sinn ! In einem Formennetzwerk bist du aufgrund der Vertraulichkeit der Telekommunikation rechtlich sogar dazu verpflichtet.
Nochmal zur Info: Es handelt sich bei dem von mir beschriebenem Netzwerk um ein privates Netzwerk.

In der Praxis würde es so sein, dass das Verhältnis von Softphones zu Hardphones 4:1 oder 4:2 betragen könnte. Softphones würden über Smartphones, Laptops oder Desktops benutzt, welche aber, auf Basis des vorläufigen Plans, in den VLANs 50, 60 und ggf. 70 zu finden wären. Daher die Frage zur Sinnhaftigkeit eines dedizierten VLAN für VOIP Anwendungen, wenn doch ein Großteil der Telefoniegeräte zwangsläufig in den regulären Datennetzen verwendet würde.
Momentan wäre die PBX im VLAN10 angesiedelt. Sollte ich die Hardphones ebenfalls VLAN10 zuordnen oder eher in ein dediziertes VLAN zusammen mit der PBX verlegen?
aqui
aqui 16.08.2016 um 15:14:27 Uhr
Goto Top
An welchen Kriterien würde man es festmachen welcher Weg - Inter-Vlan-Routing über L3 Switch vs. Router - für einen geeigneter ist?
Am Trafficaufkommen.
Wenig oder moderaten Traffic mit wenig oder einer moderaten Anzahl von VLAN kann man über einen "Lollipop" Router oder "Router on a stick" mit einem 802.1q tagged Uplink gut managen.
Bei heftigerem Trafficvolumen oder einer signifikanten Anzahl an VLANs mit übergreifender Kommunikation dann eher direkt auf dem Switch.
Wie immer sind die Grenzen da fliessend.
Wie nennt sich das Segment in dem Client{1,2} miteinander kommunizieren?
Diese Frage ist technisch unmöglich zu beantworten denn du hast NICHT gesagt welchem VLAN du die Port 7 und 8 zugewiesen hast face-sad
Bei einem Port basierten VLAN was 98% aller Switches machen musst du die Ports ja dediziert den VLANs zuweisen in der Konfig. Tust du das nicht sind die Ports immer Mitglied vom Default VLAN, sprich also VLAN 1 !!
In deinem Falle wären dann die Ports 1 bis 4 und 7 bis 8 in einem gemeinsamen VLAN.
Das sollte die Frage dann beantworten face-wink
Es handelt sich bei dem von mir beschriebenem Netzwerk um ein privates Netzwerk.
OK, da sind VLANs dann eher Spielkram oder machen höchstens Sinn wenn du ein Gast WLAN betreiben willst das den Namen verdient.
Oder Oma und Opa oder die Kids und deren Besuch mit virenverseuchten Endgeräten wollen ihr eigenes LAN usw. Sonst ist es eher kosmetische Spielerei, es sei den man legt Wert auf Sicherheit oder möchte sich weiterbilden in puncto Netwerktechnik.
Das Gros der technisch nicht bewanderten User packt ja eh alles in ein Netz und gut iss...
Momentan wäre die PBX im VLAN10 angesiedelt. Sollte ich die Hardphones ebenfalls VLAN10 zuordnen
Ja das würde Sinn machen.
Normal in professionellen Voice Netzen distribuiert man ein sog. Voice VLAN über LLDP oder CDP und weist dem Traffic dann über getaggte Daten oder auch per 802.1x und dynmaischen VLANs ein VLAN zu. Damit liesse sich dann ein "zersplittertes" Voice Netz mit verteilten Endgeräten auch wieder einen. Ob das für ein privates netz Sinn macht hängt von persönlichen Geschmäckern ab und vom Geldbeutel natürlich.
Der übliche Billigswitch vom Blödmarkt Grabbeltisch supportet sowas erst gar nicht.
ChriBo
ChriBo 16.08.2016 um 15:37:33 Uhr
Goto Top
Hallo,
Macht diese Aufteilung Sinn?
Meiner Meinung nach im privatem Umfeld: nein !
Absolut übertrieben, "sinnlos" etc.
Wirkliche Vorteile gegenüber einem einfachem Netzwerk sehe ich nicht; weder bessere Performance, Sicherheit oder Komfort.
Nur mehr Arbeit und mögliche Fehlerquellen.
Im Firmenumfeld kann eine solche Aufteilung Sinn machen.


Gruß
CH
j.hart
j.hart 16.08.2016 um 15:52:44 Uhr
Goto Top
Wie nennt sich das Segment in dem Client{1,2} miteinander kommunizieren?
Diese Frage ist technisch unmöglich zu beantworten denn du hast NICHT gesagt welchem VLAN du die Port 7 und 8 zugewiesen hast face-sad
Das war Absicht, aber vmtl. eine falsche Annahme, da...

Bei einem Port basierten VLAN was 98% aller Switches machen musst du die Ports ja dediziert den VLANs zuweisen in der Konfig. Tust du das nicht sind die Ports immer Mitglied vom Default VLAN, sprich also VLAN 1 !!
In deinem Falle wären dann die Ports 1 bis 4 und 7 bis 8 in einem gemeinsamen VLAN.
... an einem L2/3 Switch automatisch jeder verbundene Client, sofern keine weiteren VLANs definiert wurde, VLAN1 zugewiesen werden.

Anders formuliert: Jeder Client, der mit einem L2/3 Switch verbunden ist, befindet sich automatisch im default VLAN (i.d.R. VLAN1), sofern der mit dem Client verbundene Port nicht einem anderen VLAN zugewiesen wurde. Korrekt?

Wenn nun Clients miteinander über einen Layer 1 (?) Switch, wie z.B. den Cisco SG100, verbunden sind, dann existiert aber nicht automatisch ein VLAN1, oder? Wie nennt man hier die Konnektivität?

Sonst ist es eher kosmetische Spielerei, es sei den man legt Wert auf Sicherheit oder möchte sich weiterbilden in puncto Netwerktechnik.
Auf jeden Fall ist das in meinem Fall eine Weiterbildungsmaßnahme und auch Spielerei. face-smile
Auf der anderen Seite ist es natürlich so, dass die Anzahl IP basierter Geräte, auch in privaten Haushalten, stetig zunimmt. Ein gut organisiertes, wenn auch verhältnismäßig kleines Netzwerk verringert m.E. mittel- bis langristig den Administrationsaufwand und kann bei Fehlersuchen helfen.

Momentan wäre die PBX im VLAN10 angesiedelt. Sollte ich die Hardphones ebenfalls VLAN10 zuordnen
Ja das würde Sinn machen.
D.h. es würde eher Sinn machen die Hardphones in das Management VLAN zu verlegen als die PBX mit den Hardphones zusammen in ein gesondertes VOIP VLAN?

Der übliche Billigswitch vom Blödmarkt Grabbeltisch supportet sowas erst gar nicht.
Ich bin mir schon darüber bewusst, dass ein Cisco SG300 aus der SMB Serie nicht mit einem Catalyst Switch o.ä. vergleichbar ist. Allerdings sollte der doch für meine Zwecke ausreichend sein - in die Kategorie »Grabbeltisch« würde ich das Gerät nicht einordnen.
j.hart
j.hart 16.08.2016 um 16:01:20 Uhr
Goto Top
Meiner Meinung nach im privatem Umfeld: nein !
Was ich vergessen habe zu erwähnen, der Übergang ist gefühlt sehr fließend, ich arbeite selbständig von zu Hause. Berücksichtig man diesen Umstand, könnte man sich dann doch ggf. folgende, reduzierte Lösung überlegen?

  1. VLAN10@management
  2. VLAN20@voip
  3. VLAN30@iptv
  4. VLAN40@data_private
  5. VLAN50@data_office
  6. VLAN60@data_guest
ChriBo
ChriBo 17.08.2016 um 08:23:04 Uhr
Goto Top
ich arbeite selbständig von zu Hause.
Dann kann eine Segmentierung in VLANs natürlich Sinn machen, bzw. sogar zwingend notwendig sein.
Ich sehe folgende Aufteilung:
1. Office Netzwerk = Security Level 100 = VLAN 1
2. Privates Netzwerk = Security Level 80 = VLAN 10
3. Falls du im Rahmen deiner unternehmerischen Tätigkeit auch WLAN für Kunden / Besucher zur Verfügung stellst solltest du auch ein WLAN Gastzugang haben = Security Level 30 = VLAN 20.
Benötigst du aber WLAN ausschließlich für dich bzw. Mitarbeiter (Office) oder für dich, Familie und Freunde (Privat) ist meiner Meinung nach kein eigenes VLAN notwendig.
Ebenso ist kein VLAN für Management, VOIP oder IPTV notwendig; kann in die og. Aufteilung integriert werden.
Dies macht erst in größeren Netzwerken Sinn.

Gruß
Christoph
aqui
aqui 17.08.2016 um 10:19:49 Uhr
Goto Top
Jeder Client, der mit einem L2/3 Switch verbunden ist, befindet sich automatisch im default VLAN (i.d.R. VLAN1), sofern der mit dem Client verbundene Port nicht einem anderen VLAN zugewiesen wurde. Korrekt?
Absolut korrekt...!
es würde eher Sinn machen die Hardphones in das Management VLAN zu verlegen als die PBX mit den Hardphones zusammen in ein gesondertes VOIP VLAN?
Nein, auf keinen Fall das management VLAN ! Dort sollte nur isoliert der Management Zugriff auf die Infrastrukturkomponenten liegen...klar.
Separates Voice VLAN war natürlich richtig ! Das kann man dann entsprechend auch priorisieren entweder im Layer 2 oder 3 (802.1p oder DSCP) je nachdem was die Endgeräte da supporten bzw. konfiguriert ist.
bewusst, dass ein Cisco SG300 aus der SMB Serie nicht mit einem Catalyst Switch o.ä. vergleichbar ist.
Doch der gehört schon zur gehobenen Klasse... Gemeint waren eher sowas wie TP.Link, Longshine und Co. face-wink
könnte man sich dann doch ggf. folgende, reduzierte Lösung überlegen?
Ja, diese Aufteilung macht durchaus Sinn.
Im Gegensatz zum Kollegen aus Bochum solltest du ein WLAN immer abtrennen aus Sicherheitsgründen vom LAN. Der Grund ist klar...sollte das WLAN mal kompromittiert werden lägen Einbrechern sofart auch das LAN zu Füssen. Mit einer Segmentierung kann man hier wenigstens das Risiko minimieren.
Gast WLANs gehören natürlich selbstredend immer in eigene Segmente. Der gleiche Grund warum das Management separiert werden sollte um ein Kapern der Infrastruktur zu vermeiden.
Wie gesagt der Lern- und Testgrund immer als Basis genommen...
j.hart
j.hart 17.08.2016 um 13:00:11 Uhr
Goto Top
@christoph-bochum
Was hat es mit den Security Levels auf sich? Ich vermute, dass es sich dabei um eine Klassifizierung handelt, deren Stufen verschiedene Kriterien erfüllen müssen. Ist das eine offizielle Klassifizierung? Falls ja, gibt es dazu ein Referenzmodell oder Spezifikationenen?
ChriBo
ChriBo 17.08.2016 um 19:20:00 Uhr
Goto Top
Was hat es mit den Security Levels auf sich?

Hallo,
Die Betrachtung von Netzwerken nach Security Leveln ist (wurde) von Cisco für die Einrichtung der Firewalls (PIX ASA) und teilweise auch der Router verwendet. Folgende grobe Regeln gelten: von einem hohe Security Level darf auf ein niedrigeres Level zugegriffen werden. Einschränkungen sind möglich, aber nicht zwingend notwendig. Umgekehrt darf von einem niedrigen Level nicht auf ein höheres Level zugegriffen werden, Ausnahmen sind möglich, es müssen aber explizite Regeln erstellt werden. Als Default wird das interne Netz als Security Level 100 gesetzt, das Internet ist 0. Eine DMZ wird als 50 gesetzt.
Ob diese Klassifizierung auch von irgendwelchen offiziellen Klassifizierungen oder Zertifizierungen by default übernommen worden ist, kann ich leider nicht sagen, ich weiß es nicht.

CH
ChriBo
ChriBo 17.08.2016 um 21:50:33 Uhr
Goto Top
Hallo Aqui,
solltest du ein WLAN immer abtrennen aus Sicherheitsgründen vom LAN. Der Grund ist klar...
(-: mir ist der Grund in einem kleinen Netzwerk nicht ersichtlich.
1. Keep it simple
2. im Normalfall will ich innerhalb eines Netzwerkbereiches, von mir z.B. als <Office Netzwerk> bezeichnet die gleichen Tätigkeiten ausüben, unabhängig davon ob das Gerät (z.B. Laptop oder Drucker) per LAN oder per WLAN angebunden ist. Also müssen allow all Regeln zwischen LAN und WLAN in beiden Richtungen erstellt werden. Wo ist da ein Sicherheitsgewinn durch VLANs ?
Ein Sicherheitsgewinn im WLAN wird imho nur durch eine vernünftige (erweiterte) Einrichtung der Accesspoints erreicht.
-
Ist ein WLAN für Gäste oder Kunden (nicht Freunde !) gefordert macht es natürlich Sinn dies in einem seperatem VLAN zu haben.
-
Der gleiche Grund warum das Management separiert werden sollte
siehe meine Einlassung(en) wegen WLAN in einem eigenem VLAN.
Hier gilt ähnliches: kein Sicherheitsgewinn

Ich bewerte die Gefahr aus Unwissenheit Fehlkonfigurationen durch zuviele (unnütze) VLANs zu machen und dadurch einen Verlust an Sicherheit zu erhalten als hoch.

In der Originalfrage ging es um ein kleines Netz gemanagt durch einen nicht sehr erfahrenen User.

CH
trollmar
trollmar 25.06.2017 aktualisiert um 23:36:14 Uhr
Goto Top
Zitat von @j.hart:

Meiner Meinung nach im privatem Umfeld: nein !
Was ich vergessen habe zu erwähnen, der Übergang ist gefühlt sehr fließend, ich arbeite selbständig von zu Hause. Berücksichtig man diesen Umstand, könnte man sich dann doch ggf. folgende, reduzierte Lösung überlegen?

  1. VLAN10@management
  2. VLAN20@voip
  3. VLAN30@iptv
  4. VLAN40@data_private
  5. VLAN50@data_office
  6. VLAN60@data_guest


Der thread ist schon ein Jahr alt.
Allerdings stehe ich gerade vor der gleichen Frage.
Bin noch Änfänger ..seid gnädig face-wink

Meine Frage bezieht sich auf das Managment(V)LAN.
j.hart packt ja das Managment in Vlan10.

Ich habe das Managment, also mehrere Switche und PFsense die über Trunk Ports verbunden sind, in das default Vlan1 gelegt.
In PFsense habe ich ein Rules erstellt die die Switch IP Adressen blocken (und bei bedarf deaktiviere).

Grundsatzfragestellung:
Ist es eine gute Idee das Managment in den default VLAN1 zu legen?


LG
Sebastian
aqui
aqui 26.06.2017 um 09:25:44 Uhr
Goto Top
die über Trunk Ports verbunden sind
Was sind für dich Trunk Ports ??
Cisco Sprech = normale tagged Uplinks mit 802.1q Tagging
Rest der Netzwerk Welt = Link Aggregation also das Bündeln mehrere Einzellinks zu einem höherer Bandbreite
...in das default Vlan1 gelegt.
Das ist auch absolut OK.
Sinn des ganzen ist nur wenn man erhöhte Sicherheitsanforderungen hat den Management Zugang zu den Infrastruktur Komponenten vom Produktivtraffic zu trennen. Also um zu verhindern das User in den VLAN Segmenten Zugang zur Konfiguration haben.
Welches VLAN man da nimmt ist letztlich egal. VLAN 1 ist am einfachsten, da per Default alle Management IPs immer in diesem VLAN liegen.
Das birgt aber natürlich auch die Gefahr wenn man mal einen Port falsch steckt oder nicht entsprechend in die VLANs konfiguriert das der dann automatisch im Management VLAN hängt.
Wenn du damit aber leben und umgehen kannst, dann ist VLAN 1 ebenso richtig.
In PFsense habe ich ein Rules erstellt die die Switch IP Adressen blocken
Das ist eigentlich etwas "rumpelig" und umständlich und wird dich mit der Zeit nerven...
Stelle die Regel besser so ein das du immer von deinem privaten netz indem du dich mit deinem Rechner befindest immer Zugriff hast. Das vereinfacht die Sache.
Wenn du es ganz sicher machen willst, dann vergibst du dir im DHCP Server der pfSense aufgrund deiner Rechner Mac Adresse immer eine feste IP. Dann kannst du die Regel noch so dicht ziehen das nur diese IP Zugriff auf das Management VLAN hat.
Das kannst du dann erweitern für mehrere IPs über die Alias Steuerung der pfSense was das dann einfach verwaltbar macht.
Da kannst du dich dann mit Regeln und Aliasen austoben auf der Firewall wenn du willst. face-wink