praxxzz
Goto Top

Verständisfrage Layer 3 Switch - Firewall - VLAN

Hallo zusammen,

ich habe einige Fragen zum Thema Netzwerk allgemein. Ich muss zugeben, dass ich bei diesem Thema noch nicht wirklich gut informiert bin.

Nehmen wir an mein Netzwerk sieht wie folgt aus:

Modem———Firewall———Layer 3 Switch———Layer 2 Switch

Nun habe ich hierzu einige Verständisfragen. Vielleicht ist das auch wirklich einfach und ich versteh es einfach nicht.

Ich möchte hier jetzt einige VLANs einrichten (z.B. Server, Clients, VOIP, etc).

Wie bzw. wo werden diese eingerichtet. Ist es besser diese auf der L3 Switch oder auf der Firewall einzurichten? Wie richtet man dann jeweils das Routing ein?

Gehen wir davon aus, ich habe die VLANs nun auf der L3 eingerichtet. Muss die Firewall diese VLANs auch kennen?

Ich weiß, dass es bei einer L3 Switch die Möglichkeit gibt ACL zu verwenden. Hat dies einen Vorteil gegenüber einer Firewall?

Wie richte ich nun die Verbindung von der L3 Switch zur Firewall ein, wenn ich anstatt von ACL Firewall Regeln verwenden möchte und mein Routing über die L3 Switch läuft?


Ich hoffe, dass war jetzt nicht zu verwirrend. Wäre super, wenn ihr mir bei meinen Fragen helfen könntet.

Content-ID: 313743

Url: https://administrator.de/contentid/313743

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 27.08.2016 aktualisiert um 17:40:28 Uhr
Goto Top
Zitat von @praxxzz:

Nehmen wir an mein Netzwerk sieht wie folgt aus:

Modem———Firewall———Layer 3 Switch———Layer 2 Switch

Wie bzw. wo werden diese eingerichtet. Ist es besser diese auf der L3 Switch oder auf der Firewall einzurichten? Wie richtet man dann jeweils das Routing ein?

Du kannst diese sowohl auf der Firewall als auch auf dem L3-switch einrichten, je nachdem, wie Deine Anforderungen an die Filter sind. Sollten die VLANs unterneinander uneingeschränkt oder nur mit einfachen Filterregeln eingeschränkt werden, kann man den L3-switch nehmen.

Sind hingegen komplexere Filterregeln erforderlich, sollte man die Firewall nehmen.

Gehen wir davon aus, ich habe die VLANs nun auf der L3 eingerichtet. Muss die Firewall diese VLANs auch kennen?

Nur wenn sie für das Routing zwischen diesen VLANs zuständig ist. Du kannst auch der Verbindung zwischen Firewall und L3-switch ein eigenes VLAN zuweisen, so daß die Firewall überhaupt nicht wissen muß, was hinter dem L3-switch hängt.

Ich weiß, dass es bei einer L3 Switch die Möglichkeit gibt ACL zu verwenden. Hat dies einen Vorteil gegenüber einer Firewall?

Je nach Regeln und Anforderungen kann es sein, daß der L3-switch schneller als die Firewall ist (oder umgekehrt) - bleibt von Einzelfall abhängig.

Wie richte ich nun die Verbindung von der L3 Switch zur Firewall ein, wenn ich anstatt von ACL Firewall Regeln verwenden möchte und mein Routing über die L3 Switch läuft?

Gar nicht. Entweder Du verwendest die Firewall für die Regeln, dann macht die Firewall das Routing oder Du verwendest die ACLs, dann routet der L3-switch.

Ich hoffe, dass war jetzt nicht zu verwirrend. Wäre super, wenn ihr mir bei meinen Fragen helfen könntet.

Du noch viel lesen mußt, würde Meister Yoghurt sagen.

lks
aqui
aqui 27.08.2016 um 20:00:20 Uhr
Goto Top
dass ich bei diesem Thema noch nicht wirklich gut informiert bin.
Das kann man ja ändern... face-smile
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und auch
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Bei ienem L3 Switch kannst du dir nur den externen Router wegdenken, das macht dann der Switch selber. Der Router ist also quiasi gleich "intern".
Wie bzw. wo werden diese eingerichtet.
Die richtest du auf beiden Switches ei. Logisch, denn aus L2 Sicht willst du ja die VLANs transparent auf beiden Switches haben. Die klassischen ToDos:
  • VLAN einrichten mit IDs und Namen auf jedem Swiotch
  • Endgeräte Ports untagged dem jeweiligen VLAN zuordnen
  • Einen Uplink Port z.B. Port 1 nehmen und dort *alle** VLAN Tagged auflegen. Das ist der Tagged Uplink der die VLANs transparent überträgt zw. den Switches.
  • IP Adresse pro VLAN einrichten. Nur Layer 23 Switch
  • Default Route vom Layer 3 Switch auf den Internet Router legen
  • Internet Router und L3 Switch sollten über ein separates VLAN kommunizieren. Der Internet Traffic sollte nicht in einem der Produktiv VLANs sein.
  • Fertisch
Eigentlich doch ganz einfach...oder ?
Wie richtet man dann jeweils das Routing ein?
Das musst du nicht "einrichten" Das macht der Switch schon von sich aus denn du eine IP Adresse im VLAN einrichtest- Diese IP ist quasi das "Routerbein" des internen Routers im jeweiligen VLAN. Routen kann der Switch dann von ganz allein face-wink
Ist es besser diese auf der L3 Switch oder auf der Firewall einzurichten?
Das ist einen gute Frage.... Die wir aber im Forum niemals beantworten können weil wir deine Sicherheitsanforderungen oder Policy nicht kennen und du uns diese auch nicht mitteilst. Belibt dann wie immer nur raten oder Kristallkugel face-sad
Sagen wir mal so als vorsichtigen "Schrotschuß"....
Wenn du einen relativ guten L3 Switch hast und der Accesslisten supportet kannst du den Traffic schon recht gut damit steuern und kontrollieren. ACLs sind aber niemals stateful. Erreichen also nie ganz die Sicherheit einer Firewall.
Routest du über die Firewall ist die teure Investition in einen layer 3 Switch natürlich überflüssiger Unsinn...logisch.
Der L3 Switch arbeitet dann nur als L2.
Außer der Geldverschwendung hast du noch den Nachteil das man die Firewall mit einem Tagged Uplink an den Switch anbindet. Hier kumuliert nun der gesamte geroutete Inter VLAN Verkehr auf einem Uplink.
Solange du moderaten inter VLAN Traffic hast kein Thema. Wird das mehr und ist Wirespeed gefordert hast du ein Problem.
Du verstehst das Dilemma also bei der Fragestellung. Die Rahmenbedingungen also für das eine oder das andere bzw. was in deinem Umfeld Sinn macht kennst nur DU selber. Wir können hier leider nur im freien Fall raten ohne detailiertere Infos face-sad
ich habe die VLANs nun auf der L3 eingerichtet. Muss die Firewall diese VLANs auch kennen?
Nein, wozu ? Siehe oben...!
Du erzeugtst dann ein VLAN z.B. ID 99 Name "Internet", da flanschst du die Firewall an und gut iss. In so einem Design kann die Firewall dann KEINEN inter VLAN Traffic steuren bzw. regeln...klar.
Willst du das oder ist das erforderlich, dann muss die FW routen und der L3 Switch wäre dann sinnfrei.
Ich weiß, dass es bei einer L3 Switch die Möglichkeit gibt ACL zu verwenden. Hat dies einen Vorteil gegenüber einer Firewall?
Siehe oben... Kommt man aber auch von selber drauf wenn man nur einmal ein klein wenig über den IP Paket Flow nachdenkt !!
Wie richte ich nun die Verbindung von der L3 Switch zur Firewall ein, wenn ich anstatt von ACL Firewall Regeln verwenden möchte und mein Routing über die L3 Switch läuft?
Das ist so technisch nicht möglich. Das Warum ist ja oben schon erklärt. Es geht nur FW routet und L3 Switch switch nur dumm als L2 oder...
L3 Switch routet zw. den VLANs und FW kontrolliert nur rein den Internet Traffic.
It's up to you....
TheMasterofdisaster
TheMasterofdisaster 28.08.2016 um 13:05:29 Uhr
Goto Top
In der Klassischen ToDo Liste fehlt mMn noch die Route auf der FW für die Vlan Netze auf dem L3. Wenn auf dem L3 das Routing für die Vlan Netze stattfindet.

Noch eines ergänzt:
Wenn der L3 das Routing für die Vlan Netze übernimmt, dann ist es richtig das die FW keine Regeln für die Kommunikation der Vlan Netze untereinander anwenden kann. Der Traffic der angeschlossenen vlan Netze wird nur über den L3 SW laufen. Wenn man jedoch möchte das der Zugriff auf bestimmte Netze, wie zum Beispiel DMZ oder interne Server Dienste über die FW geregelt werden sollen. Kann man dies erreichen indem man die Netze auf der FW erstellt bzw anschließt. Und nicht auf dem L3 eine Vlan IP verwendet

ACL's können helfen deine FW und das Netzwerk zu entlasten. Je näher an der Source geblockt wird, desto weniger Traffic muss unnütz beabeitet werden.
aqui
aqui 28.08.2016 um 16:33:42 Uhr
Goto Top
In der Klassischen ToDo Liste fehlt mMn noch die Route auf der FW für die Vlan Netze auf dem L3
Da hast du absolut Recht ! Das ist oben im Eifer des Gefechts sicher verschütt gegangen. Danke für den richtigen Hinweis.
Kann man dies erreichen indem man die Netze auf der FW erstellt bzw anschließt. Und nicht auf dem L3 eine Vlan IP verwendet
Auch dieser Hinweis ist absolut richtig !
So wäre ein Mischbetrieb möglich das man einige Netze lokal und einige über die FW routet. Hier besteht allerdings die Gefahr von asymetrischem Routing ! Man muss also sehr genau hinsehen wie das IP Forwarding customized werden muss um nicht Security Lücken zu schaffen. Machbar ist es aber, keine Frage.
Da der TO aber nur sehr rudimentäres Wissen hat zu dem Thema ist es besser er lässt im ersten Schritt die Finger von solchen mixed Designs oder fragt jemanden der wirklich weiss was er tut wenn es wirklich nötig sein sollte !