shepherd81
Goto Top

VerständnisFrage zu VLANs (Noob)

Ich versuche mich kurz zu fassen:

Mehrere Teams, jedes Team ist in einem VLAN mit eigenem Subnetz.
Jetzt (NEU), einige User in mehreren Teams.
Muss ein PC mehrere IP-Adressen haben wenn er in mehreren VLANs ist? (sprich für jedes VLAN eine IP?)!

Ich meine es gab ne Möglichkeit einem Switch zu sagen welcher Port in welche VLANs darf und routet das automatisch.
Oder muss dieser user, wenn er in drei VLAN's ist auch drei verschiedene IP-Adressen haben und die dazugehörigen GW's?

Vielleicht kann das wer so erklären, dass auch jmd der lange damit nicht mehr zu tun hatte, wieder versteht!

Danke.

Zusatz: Umgebung hat Layer3 Switche. Endgeräte bekommen fixe IPs verteilt per DHCP.

Content-ID: 3257717183

Url: https://administrator.de/contentid/3257717183

Printed on: December 13, 2024 at 13:12 o'clock

tikayevent
tikayevent Jul 05, 2022 at 08:55:36 (UTC)
Goto Top
Lösung 1: Der Benutzer bekommt ein eigenes VLAN mit eigenem IP-Subnetz, welches über den/einen Router berechtigt ist, mit allen für Ihn benötigten VLANs zu kommunizieren. (Nachteil: Enormer Verwaltungsaufwand)

Lösung 2: Dem Rechner wird eine IP-Adresse zugewiesen, egal ob statisch oder dynamisch, die in einem der VLANs liegt und im Router berechtigt wird, mit den anderen VLANs zu kommunizieren (Nachteil: Ist die IP-Adresse bekannt, kann jeder mit jedem "unverwalteten" Gerät in die VLANs greifen)

Lösung 3: Im Endgerät legt man mehrere VLAN-Interfaces an, auf dem Switch definiert man den Switchport für den Rechner des Benutzers als VLAN-Trunk und steht das Gerät mit je einem Bein in allen benötigten VLANs. (Nachteile: Gerät muss es unterstützen, enormer Verwaltungsaufwand, nicht nachvollziehbare Kommunikation kann entstehen, Gerät kann als Jumphost verwendet werden)

Lösung 4: Dem Benutzer werden mehrere Netzwerkanschlüsse zur Verfügung gestellt, mit jeweils einem VLAN drauf, die IP-Adressierung erfolgt dynamisch und der Benutzer muss umstecken (Nachteile: Materialaufwand, Verbindungsverluste beim VLAN-Wechsel)

Gibt noch deutlich mehr Möglichkeiten, aber so wie du es beschreibst, sind dass so die drei gängigsten. Der Switch selbst, wenn er ein reiner Layer2-Switch ist, kann es nicht.
aqui
aqui Jul 05, 2022 updated at 09:03:52 (UTC)
Goto Top
Kollege @tikayevent hat schon alles zu dem Thema gesagt.
Es reicht wenn der Switch oder ein externer Router es kann.
Die 2 grundsätzlichen Konzepte im VLAN Routing kannst du hier nachlesen:

Layer 2 Konzept mit VLAN L2 Switch und externenem Router:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Layer 3 Konzept mit VLAN L3 Switch:
Verständnissproblem Routing mit SG300-28

Lesen und verstehen... face-wink
Shepherd81
Shepherd81 Jul 05, 2022 at 09:24:24 (UTC)
Goto Top
Zitat von @tikayevent:

Lösung 1: Der Benutzer bekommt ein eigenes VLAN mit eigenem IP-Subnetz, welches über den/einen Router berechtigt ist, mit allen für Ihn benötigten VLANs zu kommunizieren. (Nachteil: Enormer Verwaltungsaufwand)

Lösung 2: Dem Rechner wird eine IP-Adresse zugewiesen, egal ob statisch oder dynamisch, die in einem der VLANs liegt und im Router berechtigt wird, mit den anderen VLANs zu kommunizieren (Nachteil: Ist die IP-Adresse bekannt, kann jeder mit jedem "unverwalteten" Gerät in die VLANs greifen)

Lösung 3: Im Endgerät legt man mehrere VLAN-Interfaces an, auf dem Switch definiert man den Switchport für den Rechner des Benutzers als VLAN-Trunk und steht das Gerät mit je einem Bein in allen benötigten VLANs. (Nachteile: Gerät muss es unterstützen, enormer Verwaltungsaufwand, nicht nachvollziehbare Kommunikation kann entstehen, Gerät kann als Jumphost verwendet werden)

Lösung 4: Dem Benutzer werden mehrere Netzwerkanschlüsse zur Verfügung gestellt, mit jeweils einem VLAN drauf, die IP-Adressierung erfolgt dynamisch und der Benutzer muss umstecken (Nachteile: Materialaufwand, Verbindungsverluste beim VLAN-Wechsel)

Gibt noch deutlich mehr Möglichkeiten, aber so wie du es beschreibst, sind dass so die drei gängigsten. Der Switch selbst, wenn er ein reiner Layer2-Switch ist, kann es nicht.

Ok, wenn Security Prio1 wäre. Welches der Lösung wäre dann Best-Practice?
Mir scheinen ja Lösung1 und Lösung2 sinnvoll zu sein.
Also es geht das man mit nur einer IP-Adresse an seiner Netzwerkkarte in verschiedene andere VLANs (die andere IP-Subnetze haben) zu kommunizieren!
Taggen ist ja nur dazu da, dass wenn ein VLAN über mehrere andere Switche, die vielleicht nicht Layer3 können, übernommen werden.
Oder gibt es noch eine andere feinere englische Art das Top-Security ISO 270001-mäßig zu lösen? ;)

P.s.: Ich muss es weder selber umsetzen noch konfigurieren sondern will es nur verstehen! Also die Details wie man was wo am Router einstellt sind ein Informations-overflow für mich! ;)
2423392070
2423392070 Jul 05, 2022 at 09:30:29 (UTC)
Goto Top
Statische IP hört sich nach Abwesenheit von DNS an?
Shepherd81
Shepherd81 Jul 05, 2022 updated at 09:33:32 (UTC)
Goto Top
Zitat von @2423392070:

Statische IP hört sich nach Abwesenheit von DNS an?

Sorry blöd formuliert von mir. DHCP vergibt die.
aqui
aqui Jul 05, 2022 updated at 12:04:18 (UTC)
Goto Top
mit nur einer IP-Adresse an seiner Netzwerkkarte in verschiedene andere VLANs (die andere IP-Subnetze haben) zu kommunizieren!
Klares JA. Das kannst du ja nun auch den obigen Ausführungen und Tutorials selbst entnehmen.
Ok, wenn Security Prio1 wäre.
Mmmhhh...das kommt drauf an.
Layer 3 Switches haben in der Regel keine stateful Firewall an Bord. Wohl aber haben sie IP Access Listen (ACL) die eine sehr granulare und hinreichend sichere Zugangssteuerung bis zum Layer 4 (TCP/UDP Anwendungsports) zwischen den VLANs zulassen.
Wenn du allerdings zwingend eine stateful Firewall zwischen den VLANs benötigst kommst du um eine externe Firewall nicht drumrum.
Es gibt auch L3 Switches mit einer integrierten SPI Firewall (z.B. Mikrotik u.a.) aber da leidet dann meist der L3 Durchsatz. Bei solchen Geräten ist es dann davon abhängig welche Erwartungshaltung du in Bezug auf die Bandbreite beim L3 Forwarding zw. den VLANs hast.
Ohne konkrete Infos von dir zu diesen Punkten ist eine finale Antwort schwer möglich.
noch eine andere feinere englische Art das Top-Security ISO 270001-mäßig zu lösen?
Ja, dann immer mit Private oder Isolated VLANs (PVLANs) und einer SPI Firewall.
108012
108012 Jul 05, 2022 at 12:14:49 (UTC)
Goto Top
Hallo zusammen,

Ich muss es weder selber umsetzen noch konfigurieren sondern will es nur verstehen! Also die Details
Sag uns doch bitte einmal die Geräte die bei Euch im Einsatz sind und wir können dann alles zielgerichtet
etwas dazu anraten!

wie man was wo am Router einstellt sind ein Informations-overflow für mich! ;)
Hast Du denn einen oder zwei "Routing Points" im Netzwerk? Router oder Firewall und Layer3 Switch(e)?

Beispiel:
Ein Router oder eine Firewall sind am WAN Zugang für das WAN Routing zuständig, also kurzum
für alles in das Internet und vom Internet in die DMZ und das LAN.

Im LAN selber hat man gestapelte Switche idealer weise im "Ring" und alle Layer3, dann nimmt man dort die
Switchports der Teilnehmer und macht Sie zu Mitgliedern in mehreren VLANs und regelt via ACLs den Zugriff
auf die Geräte in den VLANs.

Dobby
Shepherd81
Shepherd81 Jul 05, 2022 at 12:57:48 (UTC)
Goto Top
Zitat von @108012:

Hallo zusammen,

Ich muss es weder selber umsetzen noch konfigurieren sondern will es nur verstehen! Also die Details
Sag uns doch bitte einmal die Geräte die bei Euch im Einsatz sind und wir können dann alles zielgerichtet
etwas dazu anraten!

wie man was wo am Router einstellt sind ein Informations-overflow für mich! ;)
Hast Du denn einen oder zwei "Routing Points" im Netzwerk? Router oder Firewall und Layer3 Switch(e)?

Beispiel:
Ein Router oder eine Firewall sind am WAN Zugang für das WAN Routing zuständig, also kurzum
für alles in das Internet und vom Internet in die DMZ und das LAN.

Im LAN selber hat man gestapelte Switche idealer weise im "Ring" und alle Layer3, dann nimmt man dort die
Switchports der Teilnehmer und macht Sie zu Mitgliedern in mehreren VLANs und regelt via ACLs den Zugriff
auf die Geräte in den VLANs.

Dobby

Wie gesagt, hier gehts eher um eine Verständnisfrage.
Wie oben beschrieben brauche ich den Input von Experten wie dies es lösen würden.
Soweit ich sagen kann, gibt es pro Team ein VLAN und wenn ein User in mehreren Teams war und man untereinander Zugriff brauchte, dann bekam dieser User eine weitere Netzwerkkarte. Was bei einem User der vielleicht in drei oder vier Teams steckt, sehr schnell, sehr kompliziert werden kann.
Brauch denkanstöße und einfach Erklärung grob/global bezüglich VLAN's wie man das von mir beschriebene Scenario am besten (security prio1) umsetzt.
PVLANs war ein input den ich bisher noch nicht kannte. Soweit ich sehe geht das noch eine Ebene Tiefer als normale VLANs und ermöglich noch feineres differenzieren. Keine Ahnung ob das in meinem scenario die beste Wahl ist.
Bin eben nur ein noob der es verstehen möchte! Muss es nicht umsetzen können!

Ich bin kein Netzwerkler, VLANs mit ACL's sind doch auch nur vom Switch verwaltete "Regeln" welcher port wohin darf!? So wie quasi ein Radius Server für Windows Authentifizierung. Oder?
aqui
aqui Jul 05, 2022 updated at 14:17:05 (UTC)
Goto Top
dann bekam dieser User eine weitere Netzwerkkarte.
Willkommen in der Netzwerk Steinzeit! Der Admin zieht sich seine Hosen dann sicher auch mit der Kneifzange an...
Ohne Worte...
PVLANs war ein input den ich bisher noch nicht kannte.
Oha...wenn's schon an solchen einfachen Basics scheitert.
Soweit ich sehe geht das noch eine Ebene Tiefer als normale VLANs
Nein. Sind lediglich VLANs die keine Any zu Any Kommunikation zulassen (ARP Blocking) sondern nur mit dem Uplink.
Ggf. ist das aber in deinem Design auch kontraproduktiv wenn die User nicht zentral auf einem Server arbeiten sondern auch einzeln untereinander. Die Info fehlt. PVLANs verhindern die any-zu-any Kommunikation auf nicht freigebenen L2 Ports.
Keine Ahnung ob das in meinem scenario die beste Wahl ist.
Dann nützen aber auch die besten Denkanstöße nichts wenn du vom Verstehen her gar nicht in der Lage bist unterschiedliche Lösungen und ihre Pros und Cons für dein Design zu bewerten?! Mit umsetzen hat Obiges ja auch gar nichts zu tun!
Ich bin kein Netzwerkler, VLANs mit ACL's sind doch auch nur vom Switch verwaltete "Regeln" welcher port wohin darf!? So wie quasi ein Radius Server für Windows Authentifizierung. Oder?
Ja und nein! Du vermischst hier jetzt 2 unterschiedliche Verfahren.
Ja: in Bezug auf den inter VLAN IP Traffic wer und was wohin darf und nicht wohin darf
Nein: in Bezug auf Port Security mit 802.1x oder Mac Address Authentication und dynamischen VLANs, was eine andere Baustelle ist aber ggf. auch in dein Setup passt wenn man den Usern ihre Team VLANs automatisch zuweisen will.

Mal ehrlich: Meinst du wirklich das du der Richtige bist das zu bewerten? Nimm dir lieber jemanden an die Hand der die Grundlagen auch alle versteht. Ist nicht böse gemeint aber ggf. zielführender als ein gefährliches Halbwissen was man sich aus Foren zusammensucht.
Shepherd81
Shepherd81 Jul 05, 2022 updated at 15:16:31 (UTC)
Goto Top
Zitat von @aqui:

dann bekam dieser User eine weitere Netzwerkkarte.
Willkommen in der Netzwerk Steinzeit! Der Admin zieht sich seine Hosen dann sicher auch mit der Kneifzange an...
Ohne Worte...
PVLANs war ein input den ich bisher noch nicht kannte.
Oha...wenn's schon an solchen einfachen Basics scheitert.
Soweit ich sehe geht das noch eine Ebene Tiefer als normale VLANs
Nein. Sind lediglich VLANs die keine Any zu Any Kommunikation zulassen (ARP Blocking) sondern nur mit dem Uplink.
Ggf. ist das aber in deinem Design auch kontraproduktiv wenn die User nicht zentral auf einem Server arbeiten sondern auch einzeln untereinander. Die Info fehlt. PVLANs verhindern die any-zu-any Kommunikation auf nicht freigebenen L2 Ports.
Keine Ahnung ob das in meinem scenario die beste Wahl ist.
Dann nützen aber auch die besten Denkanstöße nichts wenn du vom Verstehen her gar nicht in der Lage bist unterschiedliche Lösungen und ihre Pros und Cons für dein Design zu bewerten?! Mit umsetzen hat Obiges ja auch gar nichts zu tun!
Ich bin kein Netzwerkler, VLANs mit ACL's sind doch auch nur vom Switch verwaltete "Regeln" welcher port wohin darf!? So wie quasi ein Radius Server für Windows Authentifizierung. Oder?
Ja und nein! Du vermischst hier jetzt 2 unterschiedliche Verfahren.
Ja: in Bezug auf den inter VLAN IP Traffic wer und was wohin darf und nicht wohin darf
Nein: in Bezug auf Port Security mit 802.1x oder Mac Address Authentication und dynamischen VLANs, was eine andere Baustelle ist aber ggf. auch in dein Setup passt wenn man den Usern ihre Team VLANs automatisch zuweisen will.

Mal ehrlich: Meinst du wirklich das du der Richtige bist das zu bewerten? Nimm dir lieber jemanden an die Hand der die Grundlagen auch alle versteht. Ist nicht böse gemeint aber ggf. zielführender als ein gefährliches Halbwissen was man sich aus Foren zusammensucht.

Kein Ding aque!
Wie gesagt, ich wills nur verstehen. Niemand der Admin is erwartet von ihm dass er Dinge auch gut erklären kann. Die aller-besten Admins sind meistens auch die , ich drücks mal vorsichtshalber so aus: die sub-optimnalsten IT Trainer! ;)
Ich gib diesem Forum trotzdem immer gerne die Chance zu zeigen, dass es auch hier gute Experten gibt die ihr wissen so runterbrechen können, dass es auch nicht Experten verstehen können.
Und der Großteil der Antworten hier haben mir schon sehr weitergeholfen!
Wer nur zeigen möchte wo man was einstellt und bei welcher option aufpassen muss, is bestimmt bei meiner Verstädnisfrage falsch und wird sich hier wirklich die Zähne ausbeißen! ;)
Is ungefähr so wie wenn in der Schule Fritzi fragt:"Und warum ist das so?" und sich eine Antwort erwartet so dass er es anderen auch erklären kann. ;)

Meine Grundfrage war ja allen klar soweit, oder?:"Kann man mit nur einer IP an der Netzwerkkarte in mehreren VLANs sein und damit in verschiedene andere VLANs zu anderen netzen.
Sprich PC1 mit VLAN1 und VLAN2 mit 192.168.10.100 und GW 192.168.10.254 kann auch den Rechner in VLAN2 mit 192.168.20.100 und GW 192.168.20.254 pingen.
Und wie sieht ein Konzept aus, wo so etwas mit höchster Security umgesetzt wird. Also im groben was muss der Layer3 switch können und was die Netzwerkkarte. Weil ich hab mal gehört manche ältere Karten können nicht in mehreren VLANs sein. Keine Ahnung ob das stimmt.
tikayevent
tikayevent Jul 05, 2022 at 15:00:30 (UTC)
Goto Top
In Umgebungen, in der Sicherheit Prio1 ist, würde man sowas vermutlich nicht bauen.

Da wäre z.B. ZeroTrust eine Lösung oder dynamische ACLs nach einer 802.1X-Authentifizierung oder IPSec im LAN.

VLANs selbst sind keine Sicherheitsfunktion, sondern es gehört zur Virtualisierung, sprich man trennt einfach nur Netzwerke auf Layer 2. Es erspart am Ende nur einen massiven Hardwareeinsatz durch Mehrfachnutzung der selben Hardware.
Die Sicherheit kommt ja erst an der Verbindungsstelle, also dem Router oder der routenden Firewall ins Spiel.
aqui
aqui Jul 05, 2022 at 15:35:57 (UTC)
Goto Top
Weil ich hab mal gehört manche ältere Karten können nicht in mehreren VLANs sein
Befreie dich doch endlich einmal von dem Netzwerkkarten Ansatz. Das ist ja nun gruseligstes Netzwerk Mittelalter.
Die Netzwerkkarte ist NICHT relevant für sowas da sie immer außen vor liegt, völlig egal wie alt die Karte ist.
Alle diese Dinge, auch die oben vom Kollegen @tikayevent zu Recht angesprochenen dynamischen ACLs, dynmaischen VLANs nach einer 802.1X-Authentifizierung usw. Das macht einzig das L3 Device was zwischen den VLANs vermittelt. In der Regel der Switch. Auf DEN kommt es also an und ausdrücklich nicht auf die Endgeräte NICs.
Lochkartenstanzer
Lochkartenstanzer Jul 05, 2022 at 16:16:27 (UTC)
Goto Top
Moin,


Ich würde das davon abhängig machen, welcher "Sicherheitslevel" gewünscht wird.

Das einfachste wäre, jedem seine eigene Kiste für jedes TEAM/VLAN hinzustellen, so daß selbst über die Kiste des Mehrfachmitglieds keien daten "lecken" können. ggf halt mit einer Hauptmaschine, auf der für jedes VLAN eine eigene VM läuft.

lks
aqui
aqui Jul 08, 2022 at 15:28:42 (UTC)
Goto Top
Wenn's das denn nun war bitte deinen Thread dann hier auch als erledigt schliessen!