5
Trennung von Geräten
Könnte mir jemand vllt die Unterschiede zwischen VLANs, VDOMs und die Trennung über Policy und Subnetting beschreiben?
Alles sind doch Mittel um Geräte zu trennen?
Alles sind doch Mittel um Geräte zu trennen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 340829
Url: https://administrator.de/contentid/340829
Printed on: April 24, 2024 at 11:04 o'clock
5 Comments
Latest comment
Ok - bei vDom würde ich mal sagen du willst domains trennen und nicht zwingend Geräte. Beim Rest: Ja, primär geht es darum Geräte zu "trennen".
Das sieht mir aber nach den typischen Hausaufgaben aus - von daher überlege halt mal was ein vlan macht und was ein subnetz macht. Insbesondere im Bereich was der Endanwender auch z.B. einfach ändern könnte....
Das sieht mir aber nach den typischen Hausaufgaben aus - von daher überlege halt mal was ein vlan macht und was ein subnetz macht. Insbesondere im Bereich was der Endanwender auch z.B. einfach ändern könnte....
Hallo maretz,
nein ich bin kein Schüler, es geht draum, dass ich mich versuche in das Thema Firewall und Switche einzulesen und auf diese Begriffe getroffen bin aber nun total durcheinander bin...
Manche Firewalls bieten nur eine VDOM Trennung, ist das eine Alternative wenn man kein VLANs setzen kann wie bei einem Switch?
Wenn ich in einer Firewall über eine Regel verbiete dass LAN1 in LAN2 darf und umgekehrt, ist dass nicht so sicher wie VLANs?
Dann kommt noch das Einteilen in Subnetze...das Alles verwirrt mich irgendwie...
Bei welchem der Verfahren wird wie und wo eigentlich getrennt?
Und was macht wann Sinn?
nein ich bin kein Schüler, es geht draum, dass ich mich versuche in das Thema Firewall und Switche einzulesen und auf diese Begriffe getroffen bin aber nun total durcheinander bin...
Manche Firewalls bieten nur eine VDOM Trennung, ist das eine Alternative wenn man kein VLANs setzen kann wie bei einem Switch?
Wenn ich in einer Firewall über eine Regel verbiete dass LAN1 in LAN2 darf und umgekehrt, ist dass nicht so sicher wie VLANs?
Dann kommt noch das Einteilen in Subnetze...das Alles verwirrt mich irgendwie...
Bei welchem der Verfahren wird wie und wo eigentlich getrennt?
Und was macht wann Sinn?
VLAN ist für die physische Trennung von Datenströmen.
VDOM ist eine logische Trennung in der Administration. Quasi sowas wie mehrere Windows Domänen in einer Active Directory Struktur.
VDOM ist eine logische Trennung in der Administration. Quasi sowas wie mehrere Windows Domänen in einer Active Directory Struktur.
Moin,
grad mal aus der Fortigate rauskopiert:
---qoute--
VDOM
Virtual Domains are used to divide a single FortiGate unit into two or more virtual instances of FortiOS that function separately and can be managed independently.
---/qoute---
D.h. du hast eine Firewall die aber zwei komplett unterschiedliche Rule-Sets für die vDom's hat (und mehr).
Was meinst du mit "Wenn man keine VLANs setzen kann wie bei einem Switch" -> du kannst vLANs auf einem Switch setzen (sofern der das unterstützt), das ist sogar der Bereich wo du das am meisten einsetzt.
Nehmen wir mal an ich möchte Geräte trennen. Dann kann ich einfach dem Port einem VLAN zuweisen -> alle Ports innerhalb eines VLANs verhalten sich so als wären die an einem Switch. Ports eines anderen VLAN können die erst mal nicht sehen (die würden praktisch an einem anderem Switch stecken). Du kannst jetzt via Routing die VLANs verbinden. Wenn du das nicht machst kannst du bei VLAN1 z.B. die IP 192.168.1.1 für nen PC nutzen. Und dieselbe IP auch im VLAN2 wieder für einen PC vergeben (würde man trotzdem nicht machen ;)). Ausserdem hast du den Vorteil das du dein Netz nicht mit Broadcasts zuschiesst -> wenn du z.B. das Netz 10/8 nimmst und alle in einem Netzwerk wären dann hättest du eine ganze Menge traffic nur durch Broadcasts...
Subnet's verhalten sich prinzipiell ähnlich - nur das der Benutzer die ggf. ändern kann. Ausserdem kann ich dann an den Port ggf. noch ein privates Gerät mit einer anderen IP anklemmen und schon bin ich in einem anderem Netz.
Insbesondere wenn du mehr als ein Gerät am Netz dran hängst wird das auch spannend -> dann kann ich z.B. einem IP-Telefon ein VLAN-Tag setzen und einen PC dahinter entweder ohne Tag (dann eben native) oder mit Tag betreiben. Dadurch habe ich zwar nur ein Kabel aber beide Geräte sind komplett voneinander getrennt als würden die an verschiedenen Switches stecken.
Die Frage was wann Sinn macht ist immer unsinnig zu beantworten. Denn es gibt nicht "in dem Fall muss man das machen" - das hängt immer vom Gesamtkonzept ab. Nehmen wir an ich würde (völlig unsinnig!) ein 10/8er Netz aufbauen weil ich eben nen paar 10000 PCs habe. Leider hat mein Chef mir für das Netzwerk nicht viel Geld in die Hand gedrückt, mein Router schafft nur 10 mBit. Layer3 Switches gab es auch nicht. Dann möchtest du sicher nicht viel segmentieren weil der Router dir um die Ohren fliegt. Andersrum kann ich auch bei einem Netzwerk mit 3 Personen bereits VLANs o.ä. brauchen weil z.B. die Telefonie vom Datennetz getrennt werden muss... Du würdest aber in einem privathaushalt mit 3 Personen eher selten VLANs verwenden (wenn du nicht grad aus privatem Interesse spielen möchtest)....
grad mal aus der Fortigate rauskopiert:
---qoute--
VDOM
Virtual Domains are used to divide a single FortiGate unit into two or more virtual instances of FortiOS that function separately and can be managed independently.
---/qoute---
D.h. du hast eine Firewall die aber zwei komplett unterschiedliche Rule-Sets für die vDom's hat (und mehr).
Was meinst du mit "Wenn man keine VLANs setzen kann wie bei einem Switch" -> du kannst vLANs auf einem Switch setzen (sofern der das unterstützt), das ist sogar der Bereich wo du das am meisten einsetzt.
Nehmen wir mal an ich möchte Geräte trennen. Dann kann ich einfach dem Port einem VLAN zuweisen -> alle Ports innerhalb eines VLANs verhalten sich so als wären die an einem Switch. Ports eines anderen VLAN können die erst mal nicht sehen (die würden praktisch an einem anderem Switch stecken). Du kannst jetzt via Routing die VLANs verbinden. Wenn du das nicht machst kannst du bei VLAN1 z.B. die IP 192.168.1.1 für nen PC nutzen. Und dieselbe IP auch im VLAN2 wieder für einen PC vergeben (würde man trotzdem nicht machen ;)). Ausserdem hast du den Vorteil das du dein Netz nicht mit Broadcasts zuschiesst -> wenn du z.B. das Netz 10/8 nimmst und alle in einem Netzwerk wären dann hättest du eine ganze Menge traffic nur durch Broadcasts...
Subnet's verhalten sich prinzipiell ähnlich - nur das der Benutzer die ggf. ändern kann. Ausserdem kann ich dann an den Port ggf. noch ein privates Gerät mit einer anderen IP anklemmen und schon bin ich in einem anderem Netz.
Insbesondere wenn du mehr als ein Gerät am Netz dran hängst wird das auch spannend -> dann kann ich z.B. einem IP-Telefon ein VLAN-Tag setzen und einen PC dahinter entweder ohne Tag (dann eben native) oder mit Tag betreiben. Dadurch habe ich zwar nur ein Kabel aber beide Geräte sind komplett voneinander getrennt als würden die an verschiedenen Switches stecken.
Die Frage was wann Sinn macht ist immer unsinnig zu beantworten. Denn es gibt nicht "in dem Fall muss man das machen" - das hängt immer vom Gesamtkonzept ab. Nehmen wir an ich würde (völlig unsinnig!) ein 10/8er Netz aufbauen weil ich eben nen paar 10000 PCs habe. Leider hat mein Chef mir für das Netzwerk nicht viel Geld in die Hand gedrückt, mein Router schafft nur 10 mBit. Layer3 Switches gab es auch nicht. Dann möchtest du sicher nicht viel segmentieren weil der Router dir um die Ohren fliegt. Andersrum kann ich auch bei einem Netzwerk mit 3 Personen bereits VLANs o.ä. brauchen weil z.B. die Telefonie vom Datennetz getrennt werden muss... Du würdest aber in einem privathaushalt mit 3 Personen eher selten VLANs verwenden (wenn du nicht grad aus privatem Interesse spielen möchtest)....
Hallo,
VLANs sind heutzutage ein adäquates Mittel der Wahl so etwas umzusetzen oder man benutzt dazu "einfaches Routing"
was man auch sicherlich mittels einfacher (dummer) nicht verwalteter (unmanaged) Switche und einer Firewall oder einem
Router mit mehreren LAN Ports umsetzen kann. Beides sollte zum Erfolg führen und schnell umzusetzen sein! Mit einem
MikroTik Router oder einer pfSense, IPFire bzw. einer Sophos UTM oder Untangle UTM Firewall sollte das alles schnell
erledigt sein,
Man kann auch einen Layer3 Switch dazu benutzen und dann den Router oder die Firewall in ein extra Transfernetz packen
was einem dann eventuell auch noch eine höhere Geschwindigkeit zwischen den VLANs beschert.
Gruß
Dobby
VLANs sind heutzutage ein adäquates Mittel der Wahl so etwas umzusetzen oder man benutzt dazu "einfaches Routing"
was man auch sicherlich mittels einfacher (dummer) nicht verwalteter (unmanaged) Switche und einer Firewall oder einem
Router mit mehreren LAN Ports umsetzen kann. Beides sollte zum Erfolg führen und schnell umzusetzen sein! Mit einem
MikroTik Router oder einer pfSense, IPFire bzw. einer Sophos UTM oder Untangle UTM Firewall sollte das alles schnell
erledigt sein,
Man kann auch einen Layer3 Switch dazu benutzen und dann den Router oder die Firewall in ein extra Transfernetz packen
was einem dann eventuell auch noch eine höhere Geschwindigkeit zwischen den VLANs beschert.
Gruß
Dobby
