13
Verständisfrage zur VLAN Aufteilung
Hallo zusammen,
ich muss mal eine Frage loswerden die mich schon länger umtreibt.
Ich hoffe ihr zerlegt mich nicht komplett...
Thema VLANS:
Grundsätzlich sind mir die Vorteile klar...
Aufteilung eines physischen Netzwerks in verschiedene logische Netzwerke, kleine Broadcast-Domain, Sicherheitsaspekte usw.
Was ich aber nicht verstehe:
Beispiel:
Ich will Clients und Server in unterschiedliche VLANS packen.
Wenn ich das mache, geht zwischen diesen VLANS nichts mehr.
Um das zu ändern muss ich zwischen den VLANS routen, bzw. Regeln erstellen was von wo nach wo darf. (z.B. mittels L3 Switches oder Router)
Beim Beispiel Clients/Server kommt da in einer AD Umgebung einiges zusammen was zwischen den Netzen hin und her muss.
Wieso also der "Aufwand" Clients/Server zu trennen, wenn ich nachher sowieso wieder vieles "zusammen route".
Nach meiner aktuellen Ansicht machen VLANS nur dann Sinn, wenn Netze wirklich gekappt von anderen Netzen sind, oder der zu routende Traffic sich in Grenzen hält.
Ich hoffe ihr könnt mein "denken" nachvollziehen und helft mir auf die Sprünge...
Danke...und entschuldigt bitte diese wahrscheinlich "dumme Frage".
ich muss mal eine Frage loswerden die mich schon länger umtreibt.
Ich hoffe ihr zerlegt mich nicht komplett...
Thema VLANS:
Grundsätzlich sind mir die Vorteile klar...
Aufteilung eines physischen Netzwerks in verschiedene logische Netzwerke, kleine Broadcast-Domain, Sicherheitsaspekte usw.
Was ich aber nicht verstehe:
Beispiel:
Ich will Clients und Server in unterschiedliche VLANS packen.
Wenn ich das mache, geht zwischen diesen VLANS nichts mehr.
Um das zu ändern muss ich zwischen den VLANS routen, bzw. Regeln erstellen was von wo nach wo darf. (z.B. mittels L3 Switches oder Router)
Beim Beispiel Clients/Server kommt da in einer AD Umgebung einiges zusammen was zwischen den Netzen hin und her muss.
Wieso also der "Aufwand" Clients/Server zu trennen, wenn ich nachher sowieso wieder vieles "zusammen route".
Nach meiner aktuellen Ansicht machen VLANS nur dann Sinn, wenn Netze wirklich gekappt von anderen Netzen sind, oder der zu routende Traffic sich in Grenzen hält.
Ich hoffe ihr könnt mein "denken" nachvollziehen und helft mir auf die Sprünge...
Danke...und entschuldigt bitte diese wahrscheinlich "dumme Frage".
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2415977750
Url: https://administrator.de/contentid/2415977750
Printed on: April 27, 2024 at 11:04 o'clock
13 Comments
Latest comment
Zitat von @newit1:
Wieso also der "Aufwand" Clients/Server zu trennen, wenn ich nachher sowieso wieder vieles "zusammen route".
Wieso also der "Aufwand" Clients/Server zu trennen, wenn ich nachher sowieso wieder vieles "zusammen route".
Vieles ist eben...
... so wenig wie möglich, so viel wie nötig ...
Und VLANs brauchst dafür nicht zwingend...
Du könntest ganz klassisch nur einen Router mit LAN-Schnittstellen für jedes Subnetz nehmen...
... müsstest dann aber auch für jedes Subnetz separate Switche bereitstellen...
[was so nicht ganz stimmt, aber das nächst sinnvolle wäre]
VLANs ermöglichen dir, Switche für verschiedene Subnetze aufzuteilen, was HW-Kosten spart ...
Und Subnetze bieten sich halt an, größere Netzwerke logisch aufzuteilen ...
.
Routen macht man vor allem mit dem Router/Firewall. Wenn es dir um die Aufteilung geht, dann teile das Netz so auf wie du es für richtig hälst und lass deine Firewall das Routing machen. Das macht ja auch Sinn, denn du willst ja eine Trennung und die Kontrolle darüber welche Clients welche Ziele auf welchen Ports erreichen darf.
Hallo,
Als stark vereinfachtes Beispiel: Ein Abteilungsserver oder Server im KMU muss nicht in ein anderes Netz als die Clients. Da siehst Du zu Recht keinen Grund.
Die Clients aus Abteilung A müssen aber nicht auf den Server B und umgekehrt, also trennt man die Netze. Bei Ausnahmen muss man dann Routen.
(Achtung, das ist nur sehr ein simples Beispiel. Die Trennung auch innerhalb einer Abteilung kann dennoch sinnvoll sein und wird oft auch so praktiziert, da man über die Netzwerkgrenze aktives Firewalling (und mehr) machen kann). Dann braucht man aber auch entsprechende Routing- und Firewall-Leistung.)
Zweites Beispiel Telefonie: Telefonie ist gesondert schutzwürdiger Datenverkehr. Also läuft sie vorzugsweise im selbständigen VLAN, in dem die Telefone (Clients) und die Telefonanlage (Server) liegen. Auch hier also keine Trennung zwischen Clients und Servern, sondern zwischen logischen Einheiten.
Drittes Beispiel Backup: Backups sollen nicht vom Hauptnetz erreichbar sein, damit sie nicht Ziel von Trojanern werden. Ergo: Netztrennung und Pull-Backups.
VLANs als Selbstzweck sind natürlich sinnlos, das hast Du völlig richtig erkannt.
Viele Grüße, commodity
Wieso also der "Aufwand" Clients/Server zu trennen, wenn ich nachher sowieso wieder vieles "zusammen route".
Die Frage stellst Du berechtigt, nur Dein Schluss ist falsch. Server und Clients zu trennen ist nicht der Sinn von VLANs, sondern wie Kollege Mirko schon sagte, die logische Trennung von Netzwerksegmenten.Als stark vereinfachtes Beispiel: Ein Abteilungsserver oder Server im KMU muss nicht in ein anderes Netz als die Clients. Da siehst Du zu Recht keinen Grund.
Die Clients aus Abteilung A müssen aber nicht auf den Server B und umgekehrt, also trennt man die Netze. Bei Ausnahmen muss man dann Routen.
(Achtung, das ist nur sehr ein simples Beispiel. Die Trennung auch innerhalb einer Abteilung kann dennoch sinnvoll sein und wird oft auch so praktiziert, da man über die Netzwerkgrenze aktives Firewalling (und mehr) machen kann). Dann braucht man aber auch entsprechende Routing- und Firewall-Leistung.)
Zweites Beispiel Telefonie: Telefonie ist gesondert schutzwürdiger Datenverkehr. Also läuft sie vorzugsweise im selbständigen VLAN, in dem die Telefone (Clients) und die Telefonanlage (Server) liegen. Auch hier also keine Trennung zwischen Clients und Servern, sondern zwischen logischen Einheiten.
Drittes Beispiel Backup: Backups sollen nicht vom Hauptnetz erreichbar sein, damit sie nicht Ziel von Trojanern werden. Ergo: Netztrennung und Pull-Backups.
VLANs als Selbstzweck sind natürlich sinnlos, das hast Du völlig richtig erkannt.
Viele Grüße, commodity
Ziel ist auch nicht die zwingende Segmentierung um jeden Preis. Grundsätzlich geht es darum die L2 Broadcast Domains klein und damit performat zu halten. Der goldene Daumenwert nicht mehr als 150 Clients plus, minus in einer Broadcast Domain ist jedem Admin bekannt.
Das ist natürlich auch immer abhängig von der Art der Endgeräte in so einem Segment. Ein VLAN mit 200 Stechuhren, Schliessanlagen oder einfachen Sensoren verhält sich grundlegend anders als wenn das die gleiche Anzahl geschwätziger Windows Rechner sind.
Es hilft auch einmal den Horizont zu erweitern und nicht immer nur an Heim-, Klein- und Kleinstnetze zu denken, sondern auch z.B. einmal an ein Krankenhausnetz mit 1000 und mehr Clients. Kein verantwortungsvoller Admin betreibt sowas als flaches und dummes L2 Netz.
Jeder Broad- und Multicast Frame triggert einen Interrupt im Netzwerk Endgerät das sich den Frame daraufhin ansehen und verarbeiten muss. Salopp gesagt viel geschwätzige Endgeräte = viel Perfromanceverlust.
Jetzt stelle dir in so einem Segment Endgeräte mit leistungsschwachen SoCs vor wie Drucker, Scanner, Stechuhren, einfache Sensoren usw. die dergleichen Last ausgesetzt sind. Details zu den Folgen muss man sicher nicht erklären.
Diese Last führt man durch Routing eben nicht mehr zusammen wie du das oben fälschlicherweise schilderst sondern trennt sie damit aktiv.
Das ist also das vornehmliche Ziel. Andere Ziele on Top können sein Segmente zu isolieren und abzusichern. Wie z.B. für Voice VLAN für die es, zumindestens in Firmen, auch eine rechtliche Verpflichtung gibt. Nicht zu reden von WLANs und ganz besonders Gast Netzen. Da kommt dann schon eins zum anderen. Jedes Netz ist in der Beziehung immer individuell.
Deine "aktuelle" Ansicht solltest du also besser einmal etwas entstauben und neu überdenken !
Das ist natürlich auch immer abhängig von der Art der Endgeräte in so einem Segment. Ein VLAN mit 200 Stechuhren, Schliessanlagen oder einfachen Sensoren verhält sich grundlegend anders als wenn das die gleiche Anzahl geschwätziger Windows Rechner sind.
Es hilft auch einmal den Horizont zu erweitern und nicht immer nur an Heim-, Klein- und Kleinstnetze zu denken, sondern auch z.B. einmal an ein Krankenhausnetz mit 1000 und mehr Clients. Kein verantwortungsvoller Admin betreibt sowas als flaches und dummes L2 Netz.
Jeder Broad- und Multicast Frame triggert einen Interrupt im Netzwerk Endgerät das sich den Frame daraufhin ansehen und verarbeiten muss. Salopp gesagt viel geschwätzige Endgeräte = viel Perfromanceverlust.
Jetzt stelle dir in so einem Segment Endgeräte mit leistungsschwachen SoCs vor wie Drucker, Scanner, Stechuhren, einfache Sensoren usw. die dergleichen Last ausgesetzt sind. Details zu den Folgen muss man sicher nicht erklären.
Diese Last führt man durch Routing eben nicht mehr zusammen wie du das oben fälschlicherweise schilderst sondern trennt sie damit aktiv.
Das ist also das vornehmliche Ziel. Andere Ziele on Top können sein Segmente zu isolieren und abzusichern. Wie z.B. für Voice VLAN für die es, zumindestens in Firmen, auch eine rechtliche Verpflichtung gibt. Nicht zu reden von WLANs und ganz besonders Gast Netzen. Da kommt dann schon eins zum anderen. Jedes Netz ist in der Beziehung immer individuell.
Deine "aktuelle" Ansicht solltest du also besser einmal etwas entstauben und neu überdenken !
Ist ja eh schon alles gesagt, nur um das nochmals zu verdeutlichen: Ein vLAN an sich beinhaltet nicht zwangsläufig eine Firewall-Trennung.
Die Logik passt aber nicht ganz. VLAN's sind ja per se physisch immer völlig getrennt. Eine Trennung ist also immer evident und Firewalling kommt in dem Thema VLAN "an sich" gar nicht vor.
Firewall ist ne ganz andere Baustelle da L3. VLAN ist immer nur L2. Äpfel und Birnen... 😉
Firewall ist ne ganz andere Baustelle da L3. VLAN ist immer nur L2. Äpfel und Birnen... 😉
Ja, nach dem Publikums-Joker formuliere ich nochmal um:
Wenn Du mit vLANs Dein Netzwerk auf Layer2 trennst, können Deine Clients trotzdem auf Layer3 noch miteinander kommunizieren. Um das zu verhindern ist zusätzlich eine jeweilige Firewall nötig
Wenn Du mit vLANs Dein Netzwerk auf Layer2 trennst, können Deine Clients trotzdem auf Layer3 noch miteinander kommunizieren. Um das zu verhindern ist zusätzlich eine jeweilige Firewall nötig
Wenn Du mit vLANs Dein Netzwerk auf Layer2 trennst, können Deine Clients trotzdem auf Layer3 noch miteinander kommunizieren
Das ist jetzt aber schon ziemlichmissverständlich.Ich denke, der Thread ist durch. Ab 19:20 h machen wir heute mal Schluss
Viele Grüße, commodity
1
Ähh, ja.
Reminder to me&myself: „Wenn Du so nen Unsinn schreibst, mach wenigstens ausreichend Smilies dahinter“
Aber ich kann auch Entwarnung geben: Pathologisch wirds erst bei einer Trennung von Layer 1 😂
Reminder to me&myself: „Wenn Du so nen Unsinn schreibst, mach wenigstens ausreichend Smilies dahinter“
Aber ich kann auch Entwarnung geben: Pathologisch wirds erst bei einer Trennung von Layer 1 😂
Hallo zusammen, danke für eure Erläuterungen.
Hat mir definitiv weitergeholfen.
Hat mir definitiv weitergeholfen.
so, jetzt aber in ausgeschlafenem Zustand:
… ist das Routing zwischen den vLANs deshalb noch nicht per se unterbrochen und die clients können sich ggfs. über den Router erreichen
"...können sich ggfs. über einen eventuell vorhandenen Router oder eine Bridge erreichen" 😉
1
grummel, grummel, immer diese semantischen Feinheiten ….😉