Umstruckturierung Netzwerk
Moin,
wir haben bei uns ein Class C Netzwerk im Bereich 192.168.0.0. In diesem Netz werden die IPs knapp. Ich habe bereits einen Plan für VLAN und IP Bereiche aufgestellt und habe mir auch
diesen Thread durchgelesen.
Wir haben bei uns:
2x Core Switch HP Stacked
4x Web Smart Switch D-LINK (können VLANs)
20x Unmanaged Switch
Netzwerk 192.168.0.0 /24 mit ca. 150 Clients, 30 Druckern, 20 Server (mehrere IPs) und WLAN.
Vlans werden bisher gar nicht eingesetzt.
Der VLAN Plan sieht wie folgt aus:
VLAN Name
1 default
2 Mgmt
3 VMkernel
4 Server
5 IT
6 Entwicklung
7 Marketing
8 Geschäftsleitung
9 Printer
10 Lager
11 WLAN intern
12 WLAN Gäste NUR Internet
13 Besprechungsraum
14 Abteilung1
15 Abteilung2
16 Abteilung3
in dem Jeweiligen Netz 10.1.VLAN.0/24. Gäste WLAN ggf in einem anderem IP Bereich wie im anderen Thread beschrieben. Der Zugriff auf auf das Mgmt VLAN wird über den Core Switch
per ACL verboten. Auch der Zugriff aus dem Gäste WLAN in die anderen VLANS/Netze wird per ACL verboten.
Ist es überhaupt sinnvoll für jede Abteilung ein eingenes VLAN zu bilden? Ein VLAN für die Drucker gibt es deshalb, weil wir einen Printserver haben,und die Clients die somit nicht direkt
mit den Druckern kommunizieren.
Ein Problem habe ich auch noch mit den Besprechungsräumen: In den Räumen sollen sich externe per LAN-Kabel mit Ihrem Notebooks mit dem Internet verbinden können. Wenn sich aber ein
internes Notebook mit dem Netzwerk verbindet, soll diese eine interne IP bekommen und auch auf die interen Systeme zugreifen dürfen. Wie kann man so etwas realisieren?
Eine wichtige Frage ist, wie ich meine Vorgesetzten davon überzeuge, das wir VLANs einführen, und ggf. in neue Switches investieren sollten! Ich sehe es so, dass wir das Netzwerk besser struckturieren
können und die Wartung und die Kontrolle des Netzwerkes verbessert wird. Vielleicht habt ihr noch Gründe für eine Umstellung auf VLANs mit der ich eine Investitions rechtfertigen könnte?
Ich hoffe es ist ungefähr klar geworden wohin die Reise gehen soll.
Vielen Dank für Anregungen und Berichtigungen!
NokSuKao
wir haben bei uns ein Class C Netzwerk im Bereich 192.168.0.0. In diesem Netz werden die IPs knapp. Ich habe bereits einen Plan für VLAN und IP Bereiche aufgestellt und habe mir auch
diesen Thread durchgelesen.
Wir haben bei uns:
2x Core Switch HP Stacked
4x Web Smart Switch D-LINK (können VLANs)
20x Unmanaged Switch
Netzwerk 192.168.0.0 /24 mit ca. 150 Clients, 30 Druckern, 20 Server (mehrere IPs) und WLAN.
Vlans werden bisher gar nicht eingesetzt.
Der VLAN Plan sieht wie folgt aus:
VLAN Name
1 default
2 Mgmt
3 VMkernel
4 Server
5 IT
6 Entwicklung
7 Marketing
8 Geschäftsleitung
9 Printer
10 Lager
11 WLAN intern
12 WLAN Gäste NUR Internet
13 Besprechungsraum
14 Abteilung1
15 Abteilung2
16 Abteilung3
in dem Jeweiligen Netz 10.1.VLAN.0/24. Gäste WLAN ggf in einem anderem IP Bereich wie im anderen Thread beschrieben. Der Zugriff auf auf das Mgmt VLAN wird über den Core Switch
per ACL verboten. Auch der Zugriff aus dem Gäste WLAN in die anderen VLANS/Netze wird per ACL verboten.
Ist es überhaupt sinnvoll für jede Abteilung ein eingenes VLAN zu bilden? Ein VLAN für die Drucker gibt es deshalb, weil wir einen Printserver haben,und die Clients die somit nicht direkt
mit den Druckern kommunizieren.
Ein Problem habe ich auch noch mit den Besprechungsräumen: In den Räumen sollen sich externe per LAN-Kabel mit Ihrem Notebooks mit dem Internet verbinden können. Wenn sich aber ein
internes Notebook mit dem Netzwerk verbindet, soll diese eine interne IP bekommen und auch auf die interen Systeme zugreifen dürfen. Wie kann man so etwas realisieren?
Eine wichtige Frage ist, wie ich meine Vorgesetzten davon überzeuge, das wir VLANs einführen, und ggf. in neue Switches investieren sollten! Ich sehe es so, dass wir das Netzwerk besser struckturieren
können und die Wartung und die Kontrolle des Netzwerkes verbessert wird. Vielleicht habt ihr noch Gründe für eine Umstellung auf VLANs mit der ich eine Investitions rechtfertigen könnte?
Ich hoffe es ist ungefähr klar geworden wohin die Reise gehen soll.
Vielen Dank für Anregungen und Berichtigungen!
NokSuKao
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 247938
Url: https://administrator.de/contentid/247938
Ausgedruckt am: 25.11.2024 um 17:11 Uhr
30 Kommentare
Neuester Kommentar
Hallo,
die Technik heißt Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Vorzüge von VLANs? Zum einen ist eine Priorisierung möglich, zum anderen kannst du natürlich das Thema Sicherheit und Datenschutz in den Raum werfen.
Zum Thema neue Switche: PoE+ mit einkalkulieren und dann die Energieeinsparung und Ausfallsicherheit bei VoIP Phones und WLAN-APs einpringen. Dadurch das ihr Netzteile einspart, laufen die Geräte weiter bis der Switch USV der Saft ausgeht...
Viel Glück, klingt ja nach jede Menge Arbeit
Gruß
win-dozer
die Technik heißt Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Vorzüge von VLANs? Zum einen ist eine Priorisierung möglich, zum anderen kannst du natürlich das Thema Sicherheit und Datenschutz in den Raum werfen.
Zum Thema neue Switche: PoE+ mit einkalkulieren und dann die Energieeinsparung und Ausfallsicherheit bei VoIP Phones und WLAN-APs einpringen. Dadurch das ihr Netzteile einspart, laufen die Geräte weiter bis der Switch USV der Saft ausgeht...
Viel Glück, klingt ja nach jede Menge Arbeit
Gruß
win-dozer
Hallo, mir ist aufgefallen, dass Du bei Deiner VLAN-Strukturierung inhaltliche (Drucker, Server usw.), räumliche (Lager, Besprechungsraum usw.) und organisatorische (IT,Geschäftsleitung usw.) Unterteilung vermischst. Das wird unübersichtlich. (Gehört der PC des IT-Leiters nun zu VLAN "Management" oder VLAN "Geschäftsführung" oder VLAN "IT" oder ....)
Denke auch daran, viele VLANs bedeuten viel Routing, Das ist gegenüber Switching deutlich zeitaufwändiger (Verlängerung von Zugriffszeiten).
Jürgen
Denke auch daran, viele VLANs bedeuten viel Routing, Das ist gegenüber Switching deutlich zeitaufwändiger (Verlängerung von Zugriffszeiten).
Jürgen
Zitat von @chiefteddy:
Denke auch daran, viele VLANs bedeuten viel Routing, Das ist gegenüber Switching deutlich zeitaufwändiger
(Verlängerung von Zugriffszeiten).
Denke auch daran, viele VLANs bedeuten viel Routing, Das ist gegenüber Switching deutlich zeitaufwändiger
(Verlängerung von Zugriffszeiten).
Naja aber es wird ja nur ein mal geroutet... ist ja nicht so als ob er über mehrere Router geht - in dem kleinen Netzwerk dürfte er also maximal 3 Schritte haben bis ins Netz, eher 2. Und ins nächste VLAN nur einen... Das bisschen was da anfällt ist für aktuelle L3 Switche kein Problem, die langweilen sich da nur. Was schon verzögert wären aufwendige ACLs.
Zum Konzept der VLANs: Die Drucker würde ich im normalen Abteilungs VLAN lassen. Warum? Wenn der Drucker mal eben umgesteckt oder umgezogen wird hast du Arbeit. Erfahrungsgemäß wird ja doch ständig was geändert - die Abteilungsbüros bleiben ja dann doch recht gleich.
Gruß
win-dozer
Hallo, es gibt bei der Strukturierung kein besser oder schlechter. Die Strukturierung sollte einheitlich, eindeutig und "selbsterklärend" sein. Funktionell sollte man für VoIP immer ein separates VLAN vorsehen. Auch die Server können in einem separaten VLAN stehen. Sind die Host-Server keine Server? Oder warum stehen sie in einem separaten VLAN. Was soll das Management-VLAN beherbergen, wenn die Administratoren mit ihren PCs im IT-VLAN sitzen?
Der Druck-Server im Server-VLAN, der Drucker im Drucker-VLAN und der User mit seinem PC im Abteilungs-VLAN. Kein gegenseitiger Zugriff auf VLANs, kein Routing????
Außerdem verwechselst Du hier etwas: VLANs dienen der Strukturierung des Netzes und ermöglichen eine gegebenenfalls notwendige sicherheitstechnische Abschottung bestimmter Strukturen. Diese Abschottung geschiet aber über die Geräte, die die VLANs miteinander verbinden: also die Router oder L3-Switche.
Router bzw. L3-Switche verbinden erstmal alle VLANs über ihre Routingtabellen gleichberechtigt. Diese Routingtabellen stellen eine virtuelle Sicht auf das gesammte Netz dar. Man sollte sich hüten, aus vermeitlichen Sicherheitsaspekten dies Routingtabellen zu manipulieren. Dann passiert es nämlich ganz schnell, dass zB. die SNMP-Pakete des Druckers nicht mehr auf der Management-Konsole des Admins einlaufen!
Den Zugriff auf die einzelnen VLANs müßte man über eine Firewall vor jedem VLAN regeln. Ob eine solche Firewall-Funktion im L3-Core-Switch integriet ist, muß man schauen. Sie ist auf jedenfall rechenaufwändig und damit teuer.
Und warum dürfen denn zB. die Datenpakete (zB Ping) aus dem Marketing-VLAN nicht in das Geschäftsleitungs-VLAN gelangen, wo doch die Daten der Geschäftsleitung auf den Servern im Server-VLAN liegen. Darauf hat aber das Marketing-VLAN ja Zugriff!
Du solltest Dich noch mal genau mit dem Routing beschäftigen (RIP, OSPF), da scheinen noch einige Unklarheiten und Mißverständnisse zu herrschen.
Jürgen
Der Druck-Server im Server-VLAN, der Drucker im Drucker-VLAN und der User mit seinem PC im Abteilungs-VLAN. Kein gegenseitiger Zugriff auf VLANs, kein Routing????
Außerdem verwechselst Du hier etwas: VLANs dienen der Strukturierung des Netzes und ermöglichen eine gegebenenfalls notwendige sicherheitstechnische Abschottung bestimmter Strukturen. Diese Abschottung geschiet aber über die Geräte, die die VLANs miteinander verbinden: also die Router oder L3-Switche.
Router bzw. L3-Switche verbinden erstmal alle VLANs über ihre Routingtabellen gleichberechtigt. Diese Routingtabellen stellen eine virtuelle Sicht auf das gesammte Netz dar. Man sollte sich hüten, aus vermeitlichen Sicherheitsaspekten dies Routingtabellen zu manipulieren. Dann passiert es nämlich ganz schnell, dass zB. die SNMP-Pakete des Druckers nicht mehr auf der Management-Konsole des Admins einlaufen!
Den Zugriff auf die einzelnen VLANs müßte man über eine Firewall vor jedem VLAN regeln. Ob eine solche Firewall-Funktion im L3-Core-Switch integriet ist, muß man schauen. Sie ist auf jedenfall rechenaufwändig und damit teuer.
Und warum dürfen denn zB. die Datenpakete (zB Ping) aus dem Marketing-VLAN nicht in das Geschäftsleitungs-VLAN gelangen, wo doch die Daten der Geschäftsleitung auf den Servern im Server-VLAN liegen. Darauf hat aber das Marketing-VLAN ja Zugriff!
Du solltest Dich noch mal genau mit dem Routing beschäftigen (RIP, OSPF), da scheinen noch einige Unklarheiten und Mißverständnisse zu herrschen.
Jürgen
Hallo,
man kann ja vieles machen aber dazu wären dann auch mal ein paar präzisere Aussagen Deinerseits
notwendig, mal ein Beispiel dazu;
über die Stärke geschweige denn von der Last die das Netzwerk stemmen muss bzw. soll.
Etwas präziser sollte es schon sein und vor allen Dingen wo die Switche stehen!
Im Flur, in der Abteilung oder doch alle im klimatisierten Raum im 19" Rack.
Des weiteren sollte es man schon so einfach wie möglich halten und so wenig wie Nötig Aufwand
betreiben, das macht jeden Chef etwas unabhängiger von den Admins und das mögen Chefs halt
auch sehr, zumindest die ältere Generation.
Strukturiertes Netzwerk:
Nur dann hole ich nicht nur ein paar Switche neu sondern mache mal Nägel mit Köpfen und investiere
auch mal etwas zumindest in die Zukunft, und dazu gehört dann eben auch ein WLAN Controller und
WLAN APs die Klient Isolation beiten eben so wie eine integrierter Radius Server und ein zusätzliches
Captive Portal für Besucher im WLAN Controller. Das sollte jetzt keine Kritik sein nur dann macht
man es eben einmal, gleich, und ganz richtig und hat dann richtig lange Ruhe.
Die VLAN Aufteilung kann man sicherlich je nach Firma auch ganz anders aufbauen und regeln
gar keine Frage da muss man sich dann eben mal das eine oder andere aufzeichnen und ebenso
wäre hier einen Zeichnung für uns ganz nett gewesen, denn Du siehst wo alles steht und hin soll
und wir müssen uns das hier halt immer vorstellen. Ebenso die nicht verwalteten Switche sollten
meiner Meinung nach ganz verschwinden, es sei denn es sind Abteilungs Switche direkt in den
Abteilungen.
VLAN1 = default VLAN und somit auch Admin VLAN
VLAN2 = Server = 192.168.1.0/24
VLAN3 = Drucker = 192.168.2.0/24
VLAN4 = NAS/SAN = 192.168.3.0/24
VLAN5 = Scanner = 192.168.4.0/24
VLAN6 = PCs = 192.168.5.0/24
oder
VLAN1 = default VLAN und somit auch Admin VLAN
VLAN3 = Sekretariat/Geschäftsleitung
VLAN4 = Sekretariat/Geschäftsführung
VLAN5 = Abteilung 1
VLAN6 = Abteilung 2
VLAN7 = Abteilung 3
VLAN8 = Lager
VLAN9 = Gast WLAN
VLAN10 = internes WLAN
da gibt es wirklich sehr viele Möglichkeiten und das ist sicherlich noch nicht alles denn man
kann über alle VLANs in der Regel noch andere VLAN drüber legen für Gebäude und was weiß
ich nicht noch alles.
Mir wäre eher wichtig das alles aus einer Hand kommt, ok bei der Firewall oder dem Router
kann man sicherlich auch mal etwas anderes hinzu nehmen nur eine Tüte Buntes und dann
überall nur Flicklösungen und Gebastel wäre mir zu aufwendig.
Die wohl größten Vorteile von VLANs sind ja schon genannt worden aber ich ergänze das
ganze jetzt einmal mehr oder weniger.
- Datenschutz
- Bessere Verwaltbarkeit
- Weniger Störungen die sich gleich auf das ganze Netzwerk ausweiten bzw. erstrecken
- Die Priorisierung des Netzwerkverkehrs kann greifen
- WLAN für die Firma und Gäste kann besser und klar von einander abgetrennt werden
- Mehr IP Adressen zur Verfügung aber auf kleinerem Raum!
- Fehlersuche und Behebung ist nicht so Zeitaufwendig.
- Bessere Skalierbarkeit des Netzwerkes
Gruß
Dobby
Netzwerk 192.168.0.0 /24 mit ca. 150 Clients, 30 Druckern, 20 Server (mehrere IPs) und WLAN.
Vlans werden bisher gar nicht eingesetzt.
Habt Ihr VOIP in der Firma laufen???Vlans werden bisher gar nicht eingesetzt.
man kann ja vieles machen aber dazu wären dann auch mal ein paar präzisere Aussagen Deinerseits
notwendig, mal ein Beispiel dazu;
- 2x Core Switch HP Stacked
- 4x Web Smart Switch D-LINK (können VLANs)
- 20x Unmanaged Switch
über die Stärke geschweige denn von der Last die das Netzwerk stemmen muss bzw. soll.
Etwas präziser sollte es schon sein und vor allen Dingen wo die Switche stehen!
Im Flur, in der Abteilung oder doch alle im klimatisierten Raum im 19" Rack.
Des weiteren sollte es man schon so einfach wie möglich halten und so wenig wie Nötig Aufwand
betreiben, das macht jeden Chef etwas unabhängiger von den Admins und das mögen Chefs halt
auch sehr, zumindest die ältere Generation.
Strukturiertes Netzwerk:
Nur dann hole ich nicht nur ein paar Switche neu sondern mache mal Nägel mit Köpfen und investiere
auch mal etwas zumindest in die Zukunft, und dazu gehört dann eben auch ein WLAN Controller und
WLAN APs die Klient Isolation beiten eben so wie eine integrierter Radius Server und ein zusätzliches
Captive Portal für Besucher im WLAN Controller. Das sollte jetzt keine Kritik sein nur dann macht
man es eben einmal, gleich, und ganz richtig und hat dann richtig lange Ruhe.
Die VLAN Aufteilung kann man sicherlich je nach Firma auch ganz anders aufbauen und regeln
gar keine Frage da muss man sich dann eben mal das eine oder andere aufzeichnen und ebenso
wäre hier einen Zeichnung für uns ganz nett gewesen, denn Du siehst wo alles steht und hin soll
und wir müssen uns das hier halt immer vorstellen. Ebenso die nicht verwalteten Switche sollten
meiner Meinung nach ganz verschwinden, es sei denn es sind Abteilungs Switche direkt in den
Abteilungen.
VLAN1 = default VLAN und somit auch Admin VLAN
VLAN2 = Server = 192.168.1.0/24
VLAN3 = Drucker = 192.168.2.0/24
VLAN4 = NAS/SAN = 192.168.3.0/24
VLAN5 = Scanner = 192.168.4.0/24
VLAN6 = PCs = 192.168.5.0/24
oder
VLAN1 = default VLAN und somit auch Admin VLAN
VLAN3 = Sekretariat/Geschäftsleitung
VLAN4 = Sekretariat/Geschäftsführung
VLAN5 = Abteilung 1
VLAN6 = Abteilung 2
VLAN7 = Abteilung 3
VLAN8 = Lager
VLAN9 = Gast WLAN
VLAN10 = internes WLAN
da gibt es wirklich sehr viele Möglichkeiten und das ist sicherlich noch nicht alles denn man
kann über alle VLANs in der Regel noch andere VLAN drüber legen für Gebäude und was weiß
ich nicht noch alles.
Mir wäre eher wichtig das alles aus einer Hand kommt, ok bei der Firewall oder dem Router
kann man sicherlich auch mal etwas anderes hinzu nehmen nur eine Tüte Buntes und dann
überall nur Flicklösungen und Gebastel wäre mir zu aufwendig.
Die wohl größten Vorteile von VLANs sind ja schon genannt worden aber ich ergänze das
ganze jetzt einmal mehr oder weniger.
- Datenschutz
- Bessere Verwaltbarkeit
- Weniger Störungen die sich gleich auf das ganze Netzwerk ausweiten bzw. erstrecken
- Die Priorisierung des Netzwerkverkehrs kann greifen
- WLAN für die Firma und Gäste kann besser und klar von einander abgetrennt werden
- Mehr IP Adressen zur Verfügung aber auf kleinerem Raum!
- Fehlersuche und Behebung ist nicht so Zeitaufwendig.
- Bessere Skalierbarkeit des Netzwerkes
Gruß
Dobby
Der gedanke war hier, wenn jemand sein Notebook in das LAN hängt und unfug betreibt.
Da kann ich natürlich auf 802.1X zurück greifen.
Na das ist ja schon mal etwas aber dafür sollte man dann doch wohl eher einen kleinenDa kann ich natürlich auf 802.1X zurück greifen.
Squid Proxy aufsetzen und dann hat man das auch alles brav mitgeloggt und kann es
auch ganz anders bzw. noch schneller auswerten, oder aber man setzt einen Syslog Server
auf in dem alle Netzwerkgeräte Ihre Protokolldateien zentral abladen können.
Warum brauche ich hier eine Firewall (welche nicht im L3-Core-Switch vorhanden ist) wenn ich
ACLs habe? Ich könnte unseren Lancom 7100+ dafür verwenden, dann gehen alle Pakete durch
die Firewall, was wie du schon sagtest recht teuer ist.
Das bleibt ja Dir selber bzw. Euch überlassen was Du machst!ACLs habe? Ich könnte unseren Lancom 7100+ dafür verwenden, dann gehen alle Pakete durch
die Firewall, was wie du schon sagtest recht teuer ist.
Man kann die VLANs alle bis an den Router bzw. die Firewall heran führen und das dort
alles terminieren oder aber man leitet die VLANs nur bis zum Layer3 Core Switch und
terminiert sie dort und hat dann ein Transfernetz (VLAN) zum Router oder der Firewall.
Das bleibt jedem selber überlassen, nur wenn VOIP eine Rolle spielen sollte, dann
wirst Du die VLANs schon bis an die Firewall oder den Router durch reichen müssen!
Alleine der QoS Priorisierung wegen sollte das dann schon laufen.
Gruß
Dobby
Zitat von @NokSuKao:
> VLAN1 = default VLAN und somit auch Admin VLAN
D.h. das default VLAN ist ein reines Admin VLAN?
> VLAN1 = default VLAN und somit auch Admin VLAN
D.h. das default VLAN ist ein reines Admin VLAN?
IMHO sollte das VLAN1 tot sein - nur so kannst du sicher stellen das neue Ports nicht mitten drin im Admin LAN hängen - das dürfte nämlich tötlich sein.
Hallo,
also noch mal: wenn Du das Routing manipulierst, betrifft das alle Datenpakete, da der Router nicht mehr "weiß" wie ein bestimmtes Netzwerk erreichbar ist. Also nicht nur die "Nutzdaten" sondern auch "interne" Datenpakete (ARP, DNS, DHCP, ICMP usw.)
Natürlich kannst Du mit ACLs arbeiten, Die wirken aber auf L2+-Ebene. Dh. Du kannst IP- und MAC-Adressen auswerten aber keine Protokolle/ Dienste.
Und pass auf, dass Du Dir hier nicht einen "Wolf" konfigurierst! Jedes mal, wenn jemand für Support-Zwecke sich in einem VLAN "anstöpselt" muß der Switch umkonfiguriert werden. Und das ist vielleicht noch mit einem Reset des Switches verbunden und alle "fliegen" raus. Und am Ende die Rücknahme der ACL nicht vergessen.
Schon mal über port-basierte Sicherheit mit RADIUS-Authentifizierung nachgedacht?
Der Zugang zu einem Management-Interface eines Gerätes ist doch über Passwort geschützt. Warum denn nun auch noch über ACLs? Und das Management-Interface des Druckers ist nicht über ACLs schützenswert.
--> Struckturierung muß logisch sein, sonst weiß am Ende keiner, wie er wo hin kommt und warum nicht!
Strukturiere nach Abteilungen, dann gibt es aber kein "Lager" (es sei denn, es gibt eine Abteilung "Lager", üblicher weise gehört das Lager aber zum Einkauf oder Produktion) Auch "Besprechungsraum" ist dann Unfug. Was führ ACLs willst Du denn dort konfigurieren?
"IT" ist aber IT! es gibt nicht IT erster und 2. Klasse. Der Admin- Zugang zu den Geräten wird über Passworte geregelt und nicht über ACLs.
Die Server in ein VLAN ist OK. Die Drucker gehören in die Abteilungen (wie @102534 schon sagte).
ESXi-Management-Ports in ein eigenes VLAN macht dann Sinn, wenn HA darüber läuft. Das Verschieben der VMs läuft darüber. Dieser Datenverkehr sollte nicht mit anderem Verkehr kolidieren. Auch für die Datensicherung wäre unter diesem Aspekt ein eigenes VLAN denkbar. Das hängt aber vom Datenvolumen ab.
Ansonsten einfache, flache Strukturen. Weniger ist hier mehr.
Jürgen
also noch mal: wenn Du das Routing manipulierst, betrifft das alle Datenpakete, da der Router nicht mehr "weiß" wie ein bestimmtes Netzwerk erreichbar ist. Also nicht nur die "Nutzdaten" sondern auch "interne" Datenpakete (ARP, DNS, DHCP, ICMP usw.)
Natürlich kannst Du mit ACLs arbeiten, Die wirken aber auf L2+-Ebene. Dh. Du kannst IP- und MAC-Adressen auswerten aber keine Protokolle/ Dienste.
Und pass auf, dass Du Dir hier nicht einen "Wolf" konfigurierst! Jedes mal, wenn jemand für Support-Zwecke sich in einem VLAN "anstöpselt" muß der Switch umkonfiguriert werden. Und das ist vielleicht noch mit einem Reset des Switches verbunden und alle "fliegen" raus. Und am Ende die Rücknahme der ACL nicht vergessen.
Schon mal über port-basierte Sicherheit mit RADIUS-Authentifizierung nachgedacht?
Der Zugang zu einem Management-Interface eines Gerätes ist doch über Passwort geschützt. Warum denn nun auch noch über ACLs? Und das Management-Interface des Druckers ist nicht über ACLs schützenswert.
--> Struckturierung muß logisch sein, sonst weiß am Ende keiner, wie er wo hin kommt und warum nicht!
Strukturiere nach Abteilungen, dann gibt es aber kein "Lager" (es sei denn, es gibt eine Abteilung "Lager", üblicher weise gehört das Lager aber zum Einkauf oder Produktion) Auch "Besprechungsraum" ist dann Unfug. Was führ ACLs willst Du denn dort konfigurieren?
"IT" ist aber IT! es gibt nicht IT erster und 2. Klasse. Der Admin- Zugang zu den Geräten wird über Passworte geregelt und nicht über ACLs.
Die Server in ein VLAN ist OK. Die Drucker gehören in die Abteilungen (wie @102534 schon sagte).
ESXi-Management-Ports in ein eigenes VLAN macht dann Sinn, wenn HA darüber läuft. Das Verschieben der VMs läuft darüber. Dieser Datenverkehr sollte nicht mit anderem Verkehr kolidieren. Auch für die Datensicherung wäre unter diesem Aspekt ein eigenes VLAN denkbar. Das hängt aber vom Datenvolumen ab.
Ansonsten einfache, flache Strukturen. Weniger ist hier mehr.
Jürgen
IMHO sollte das VLAN1 tot sein - nur so kannst du sicher stellen das neue Ports nicht mitten
drin im Admin LAN hängen
Das macht zwar bei einigen Installationen Sinn und erfüllt auch ab und an seinen guten Zweckdrin im Admin LAN hängen
nur ist es halt kein Allheilmittel und zielt auch immer auf die dahinter liegende Netzwerkstruktur
ab und die kann eben einmal so und einmal anders herum ausfallen.
Das VLAN1 ist in der Regel das VLAN in dem alle Geräte automatisch Mitglieder werden
und man kann natürlich über alle anderen VLANs noch ein etra VLAN legen und das gesamte
Netzwerk dann vom VLAN1 (default VLAN) abzuschotten und wenn der Zugang dazu gesichert
ist, also sprich auch mittels eines Zertifikates bzw. SSH Schlüssels abgesichert wird kann da
auch niemand rein oder ran. Und sicherlich sollte auch die Admin Console die an den KVM
Switchen hängt die mit allen Switche und Routern bzw. Firewall verbunden ist nicht auf dem
Flur stehen wo alle ran können.
- das dürfte nämlich tötlich sein.
Nicht wenn man die Kabel gebundenen Geräte via LDAP und die Kabel losen Geräte viaRadiusServer und/oder CaptivePortal absichert! Dann werden sie nämlich nicht in das
Netzwerk gelassen, die Switche sollten dann natürlich auch in einem Server oder EDV
Raum stehen an den nicht jeder ran und rein kann. und Geräte die im Netzwerk hängen
bzw. die mit dem Netzwerk wo auch immer verbunden sind und auf die der oder ein Admin
keinen Zugriff hat sind mir noch viel mehr ein Graus!
Sicherlich ist dann auch eine Radius Absicherung der IP Kameras und der WLAN APs
angewiesen nur wenn das eben gute Geräte sind kann man auch dort ein Zertifikat installieren
und dann kann eben niemand mehr das Kabel ab zupfen und etwas anderes anschließen, denn
das wird dann nicht in das Netzwerk gelassen.
Gruß
Dobby
@NokSuKao
Wie viele Ports sind es denn nun insgesamt?
Und wo stehen denn die Switche alle im Rack oder verteilt?
Gruß
Dobby
Wie viele Ports sind es denn nun insgesamt?
Und wo stehen denn die Switche alle im Rack oder verteilt?
Gruß
Dobby
Zitat von @NokSuKao:
Aber wie realisiere ich das mit den Druckern? Dort kann ich 802.1X nicht konfigurieren. Alsowie verhindere
ich, dass jemand das Netzwerkkabel vom Drucker in sein Notebook steckt und sich im internen Netz rumtreibt?
Aber wie realisiere ich das mit den Druckern? Dort kann ich 802.1X nicht konfigurieren. Alsowie verhindere
ich, dass jemand das Netzwerkkabel vom Drucker in sein Notebook steckt und sich im internen Netz rumtreibt?
Hallo, was habt ihr denn für Mitarbeiter?
Dafür gibt es eine Betriebsvereinbahrung: "Eigenmächtige Veränderungen im Netzwerk sind veboten!" Beim ersten mal git´s eine Abmahnung und beim 2. Mal die Kündigung. Fertig. Einmal "durchgezogen" und Du hast Ruhe.
Außerdem kannst Du über ein Management-System die Erreichbarkeit eines Gerätes überwachen. Und wenn das Gerät nicht mehr antwortet, gehst Du mit einem Basballschläger bewaffnet dort hin und sorgs für Ordnung. Glaub mir, das hilft.
Weiterhin kannst Du auf die betroffenen Ports ja einen MAC-Filter legen (ACL), So oft werden die Drucker ja wohl nicht "umgestöpselt".
Jürgen
Hallo nochmal,
2 x Netgear XSM96GSKT oder
2x Netgear XSM96PSKT oder
ein Paket von jedem und fertig ist der Lack sind dann ca. 18.000 €
Es gibt 2 Stacking Module + Kabel und 2 SFP+ Module + Kabel mit dazu!
Ein XSM7224S mit einer L3 Lizenz ist dann der Core und der andere als L2+ ist
dann für die Serveranbindung fertig.
Netgear WC7520 ~1200 €
WNAP320 ~140 €
WNDAP350 ~180 €
WNAP360 ~ 200 €
Und ein Controller basierendes WLAN steht auch, mit einem Radius für die interne Nutzung
und einem Captive Portal für externe Besucher.
Gruß
Dobby
Weiterhin kannst Du auf die betroffenen Ports ja einen MAC-Filter legen (ACL), So oft werden
die Drucker ja wohl nicht "umgestöpselt".
Das halte ich für sinnvoll.die Drucker ja wohl nicht "umgestöpselt".
Es sind ca. 160 Patchpanel Ports die auf die Switche gepatcht sind.
Ok danke.Wie oben beschrieben stehen die Switche alle im Serverraum in den Racks.
Ok alles klar, das habe ich voll überlesen.2 x Netgear XSM96GSKT oder
2x Netgear XSM96PSKT oder
ein Paket von jedem und fertig ist der Lack sind dann ca. 18.000 €
Es gibt 2 Stacking Module + Kabel und 2 SFP+ Module + Kabel mit dazu!
Ein XSM7224S mit einer L3 Lizenz ist dann der Core und der andere als L2+ ist
dann für die Serveranbindung fertig.
Netgear WC7520 ~1200 €
WNAP320 ~140 €
WNDAP350 ~180 €
WNAP360 ~ 200 €
Und ein Controller basierendes WLAN steht auch, mit einem Radius für die interne Nutzung
und einem Captive Portal für externe Besucher.
Gruß
Dobby
Das sind ja größtenteils nur worst-case-szenarien.
Das ist Realität zu jeder EM und WM!!!Aber tatsächlich hat schon mal ein Mitarbeiter ein AP in unser Netzgehägt,
er hatte das Gerät für seine Dienstreisen und nicht für das interne Netz.
In das WLAN des AP hat er dann sein privates Smartphone
reingehängt.....und keiner hat es bemerkt face-sad
Ganz alleine und nur ein Smartphone???er hatte das Gerät für seine Dienstreisen und nicht für das interne Netz.
In das WLAN des AP hat er dann sein privates Smartphone
reingehängt.....und keiner hat es bemerkt face-sad
Setzt ihr denn ACLs bei euch ein. Und wenn ja wie oder warum nicht?
- ACLs am Switch
- Firewallregeln am WAN Interface
- LDAP & Radius für Kabel gebundene und lose Geräte
Man kann sicher auch den einen oder anderen Snort Sensor im Netzwerk platzieren und
dazu noch mittels des WLAN Controllers nach Rough WLAN APs scannen, alles kein Thema.
Gruß
Dobby
Die Wireless Controller und APs haben wir ja von Motorola, die erfüllen auch
alle Anforderungen an VLAN, Captive Portal etc.
Ok das kam nicht ganz durch bei mir das Ihr da versorgt seit.alle Anforderungen an VLAN, Captive Portal etc.
Darf ich fragen wofür die ACLs da sind?
Pro Port angelegt.Sollten wir wohl auch so umsetzen
Nur Radius alleine für alle Geräte mit Zertifikat und Verschlüsselung knallt einem so richtighart auf das LAN, also da sollten dann schon richtig dicke nicht blockierende Switche zum
Einsatz kommen, die die Last auf stemmen können.
Dieser Sensor überwacht dann zusätzlich das Netz?
Man hat mehrere Snort Sensoren und einen Snort Server, man kann natürlich auch Suricatabenutzen was auch recht gute Sprünge in seiner Entwicklung zur Zeit macht, das ist im Prinzip
egal aber ein IDS System zusammen mit Rouge WLAN Device detection und LDAP + Radius
in Verbindung mit einer Firewall und Switch ACLs runden das ganze dann schon gut ab,
aber das macht auch jeder für sich ab wie sicher es denn sein soll oder die Firma es braucht.
Als Core Switch haben wir zwei HP2920 Stacked mit 10 GBit Modulen an die
dei ESXi Hosts angebunden sind und auch die
Also das macht halt auch wieder jeder für sich ab, nur ich denke mit den 6 Switchendei ESXi Hosts angebunden sind und auch die
und von mir aus auch wenn es redundant im Core laufen soll dann eben mit zwei XSM7224S
& L3 Lizenz also insgesamt 7 Switchen fackelt man das etwas performanter ab als mit 26
Switchen und vor allen Dingen übersichtlicher!
Wir haben 4 x XSM7224S & L3 Lizenz gestapelt als Core im Unternehmen
und dann die restlichen Switche als Stack jeweils 5 PoE und 5 normale
L3 Switche und noch einmal 4 XSM7224S L2+ im Stapel für die Server,
NAS und SAN Geräte. Aber bei einer Portdichte von nur 100 Ports dachte
ich ist man mit zwei von den Kits voll und ganz bedient. Aber wie gesagt
das macht auch jeder für sich ab.
Gruß
Dobby
Also irgendwie stehe ich grad auf dem Schlauch!
ACL für einen Port gültigACL für 3 Ports gültig
Was macht ihr genauc mit den ACLs Portweise? Die MACs überprüfen?
How do I set up an IP Access Control List (ACL) with two rules on my managed switch?Sollte eigentlich alles erklären.
Gruß
Dobby
Hallo,
Port-basierte Sicherheit (auf MAC- oder IP-Ebene) macht nur dann Sinn, wenn die Gefahr besteht, dass "unautorisierte" Geräte ins Netz gebracht werden. ZB. wenn die Räumlichkeiten öffentlich zugänglich sind (Schule, Hochschule, Konferenz-Zentrum usw.). In einem "privaten" Bereich (zB. Wohnung, Firmengelände) ist der Zugang zu den Netzwerkanschlüssen ja in der Regel schon durch das "Hausrecht" geregelt.
Macht denn bei Dir im Unternehmen jeder was er will? Sind Eure Mitarbeiter alle "kleine" Hacker und schnüffeln den ganzen Tag im Netz umher, statt zu arbeiten? Wenn bei mir jemand im Netzwerk etwas macht, was ich nicht will oder er nicht darf, gehe ich zuerst zum Verursacher und kläre das auf persönlicher Ebene. Hilft das nicht, geht es zur Geschäftsleitung und es gibt eine Anweisung. Hilft das immer noch nicht, gibts ´ne Abmahnung. Soweit mußte ich es aber noch nie treiben, Wenn es ein Problem gibt, suchen wir nach einer konformen Lösung, Und wenn etwas mal nicht realisierbar ist, wird das auch akzeptiert.
Wenn Du auf jeden Switch-Port eine ACL legst, bist Du doch dauernd am umkonfigurieren. Wenn der GF mit seinem neuen Laptop (von dem man Dich nicht in Kenntnis gesetzt hat) in den Besprechungsraum kommt, kommt er nicht mehr ins Netz. Und wer ist Schuld?
Sicherheit ist immer eine Gradwanderung zwischen Bequemlichkeit und Schutzniveau. Soviel Sicherheit wie nötig, soviel Bequemlichkeit wie möglich!
Was nützt Dir ein hochsicheres Passwort (15 Zeichen, zwingend Groß- und Klein-Buchstaben, Ziffern und Sonderzeichen, alle 4 Wochen eine Änderung, PW-Historie über 15 Monate), das sich keiner merken kann und desshalb unter jeder Tastatur ein Zettel klebt.
Jürgen
Port-basierte Sicherheit (auf MAC- oder IP-Ebene) macht nur dann Sinn, wenn die Gefahr besteht, dass "unautorisierte" Geräte ins Netz gebracht werden. ZB. wenn die Räumlichkeiten öffentlich zugänglich sind (Schule, Hochschule, Konferenz-Zentrum usw.). In einem "privaten" Bereich (zB. Wohnung, Firmengelände) ist der Zugang zu den Netzwerkanschlüssen ja in der Regel schon durch das "Hausrecht" geregelt.
Macht denn bei Dir im Unternehmen jeder was er will? Sind Eure Mitarbeiter alle "kleine" Hacker und schnüffeln den ganzen Tag im Netz umher, statt zu arbeiten? Wenn bei mir jemand im Netzwerk etwas macht, was ich nicht will oder er nicht darf, gehe ich zuerst zum Verursacher und kläre das auf persönlicher Ebene. Hilft das nicht, geht es zur Geschäftsleitung und es gibt eine Anweisung. Hilft das immer noch nicht, gibts ´ne Abmahnung. Soweit mußte ich es aber noch nie treiben, Wenn es ein Problem gibt, suchen wir nach einer konformen Lösung, Und wenn etwas mal nicht realisierbar ist, wird das auch akzeptiert.
Wenn Du auf jeden Switch-Port eine ACL legst, bist Du doch dauernd am umkonfigurieren. Wenn der GF mit seinem neuen Laptop (von dem man Dich nicht in Kenntnis gesetzt hat) in den Besprechungsraum kommt, kommt er nicht mehr ins Netz. Und wer ist Schuld?
Sicherheit ist immer eine Gradwanderung zwischen Bequemlichkeit und Schutzniveau. Soviel Sicherheit wie nötig, soviel Bequemlichkeit wie möglich!
Was nützt Dir ein hochsicheres Passwort (15 Zeichen, zwingend Groß- und Klein-Buchstaben, Ziffern und Sonderzeichen, alle 4 Wochen eine Änderung, PW-Historie über 15 Monate), das sich keiner merken kann und desshalb unter jeder Tastatur ein Zettel klebt.
Jürgen
Zitat von @NokSuKao:
> Sollte eigentlich alles erklären.
Vielen Dank für die Links, so hatte ich mir das auch vorgestellt. Nur habe ich aus
vorherigen Posts (nicht zwingend von Dir) entnommen, das man ACLs nur sehr
sparsam einsetzen soll!? Wirklich wieter bin ich da jetzt noch nicht.
> Sollte eigentlich alles erklären.
Vielen Dank für die Links, so hatte ich mir das auch vorgestellt. Nur habe ich aus
vorherigen Posts (nicht zwingend von Dir) entnommen, das man ACLs nur sehr
sparsam einsetzen soll!? Wirklich wieter bin ich da jetzt noch nicht.
Dem ist auch schon so nur das kann bei 100 LAN/Switch Ports auch schnell nach
hinten losgehen! Und von daher hat Dir ja weiter oben schon jemand dazu geschrieben:
Und pass auf, dass Du Dir hier nicht einen "Wolf" konfigurierst!
Man kann natürlich auch ACLs auf ganze VLANs anwenden, gar kein Thema,
nur auch die VLANs haben Memberports am Switch bzw. man muss auch den
VLANs Ports am Switch zuweisen.
Sicherheit ist immer eine Gradwanderung zwischen Bequemlichkeit und Schutzniveau.
Soviel Sicherheit wie nötig, soviel Bequemlichkeit wie möglich!
Naja also die Drucker und Server und router und die Firewall, ebenso wie dieSoviel Sicherheit wie nötig, soviel Bequemlichkeit wie möglich!
Kameras und die WLAN APs sollten auf jeden Fall nicht so oft wechseln!
Port-basierte Sicherheit (auf MAC- oder IP-Ebene) macht nur dann Sinn, wenn die Gefahr
besteht, dass "unautorisierte" Geräte ins Netz gebracht werden. ZB. wenn die
Räumlichkeiten öffentlich zugänglich sind (Schule, Hochschule, Konferenz-Zentrum usw.).
Hat er ja schon einmal angesprochen das es jemand bei Ihnen mit einem WLAN AP gemachtbesteht, dass "unautorisierte" Geräte ins Netz gebracht werden. ZB. wenn die
Räumlichkeiten öffentlich zugänglich sind (Schule, Hochschule, Konferenz-Zentrum usw.).
hat! Also so abwegig finde ich das dann gar nicht und da er ja auch auf VLANs umsteigen
möchte, kann man sicherlich auch mit der ein oder anderen ACL die VLANs sichern.
In einem "privaten" Bereich (zB. Wohnung, Firmengelände) ist der Zugang zu den
Netzwerkanschlüssen ja in der Regel schon durch das "Hausrecht" geregelt.
Nur da hält sich eben auch nicht jeder dran, weder die Mitarbeiter und zu HauseNetzwerkanschlüssen ja in der Regel schon durch das "Hausrecht" geregelt.
der experimentierfreudige Filius auch nicht!
Wirklich wieter bin ich da jetzt noch nicht.
Man kann die bzw. eine ACL pro Port am Switch definieren und sie gilt für ein Gerätoder aber es gibt halt auch Ports die zu VLANs und LAGs gehören und dann wird zwar
die ACL für einen Switchport angelegt, gilt aber für ein ganzes VLAN oder mehrere.
Was war denn nun so schlimm an dem Ausspruch "ACLs Portweise"?
Klar an einer Firewall kann man damit ganze Netzwerksegmente mit abdecken und am
Switch sind die eben dann auf einen oder mehrere Ports begrenzt ist aber im Grunde das
gleiche nur das man eben an einer Firewall etwas weniger an Arbeit damit hat bzw. das
ganze etwas zentraler abwickeln kann. nur wenn schon ein zweiter Routingpunkt im LAN
vorhanden ist, Eurem Core Switch, dann macht es sicherlich auch Sinn dort ACLs zu nutzen
damit eben die Firewall oder der Router nicht ganz alleine das Netzwerk routen muss.
Zumindest so wie das sehe.
Gruß
Dobby