VerständnisFrage zu VLANs (Noob)
Ich versuche mich kurz zu fassen:
Mehrere Teams, jedes Team ist in einem VLAN mit eigenem Subnetz.
Jetzt (NEU), einige User in mehreren Teams.
Muss ein PC mehrere IP-Adressen haben wenn er in mehreren VLANs ist? (sprich für jedes VLAN eine IP?)!
Ich meine es gab ne Möglichkeit einem Switch zu sagen welcher Port in welche VLANs darf und routet das automatisch.
Oder muss dieser user, wenn er in drei VLAN's ist auch drei verschiedene IP-Adressen haben und die dazugehörigen GW's?
Vielleicht kann das wer so erklären, dass auch jmd der lange damit nicht mehr zu tun hatte, wieder versteht!
Danke.
Zusatz: Umgebung hat Layer3 Switche. Endgeräte bekommen fixe IPs verteilt per DHCP.
Mehrere Teams, jedes Team ist in einem VLAN mit eigenem Subnetz.
Jetzt (NEU), einige User in mehreren Teams.
Muss ein PC mehrere IP-Adressen haben wenn er in mehreren VLANs ist? (sprich für jedes VLAN eine IP?)!
Ich meine es gab ne Möglichkeit einem Switch zu sagen welcher Port in welche VLANs darf und routet das automatisch.
Oder muss dieser user, wenn er in drei VLAN's ist auch drei verschiedene IP-Adressen haben und die dazugehörigen GW's?
Vielleicht kann das wer so erklären, dass auch jmd der lange damit nicht mehr zu tun hatte, wieder versteht!
Danke.
Zusatz: Umgebung hat Layer3 Switche. Endgeräte bekommen fixe IPs verteilt per DHCP.
Please also mark the comments that contributed to the solution of the article
Content-ID: 3257717183
Url: https://administrator.de/contentid/3257717183
Printed on: December 13, 2024 at 13:12 o'clock
14 Comments
Latest comment
Lösung 1: Der Benutzer bekommt ein eigenes VLAN mit eigenem IP-Subnetz, welches über den/einen Router berechtigt ist, mit allen für Ihn benötigten VLANs zu kommunizieren. (Nachteil: Enormer Verwaltungsaufwand)
Lösung 2: Dem Rechner wird eine IP-Adresse zugewiesen, egal ob statisch oder dynamisch, die in einem der VLANs liegt und im Router berechtigt wird, mit den anderen VLANs zu kommunizieren (Nachteil: Ist die IP-Adresse bekannt, kann jeder mit jedem "unverwalteten" Gerät in die VLANs greifen)
Lösung 3: Im Endgerät legt man mehrere VLAN-Interfaces an, auf dem Switch definiert man den Switchport für den Rechner des Benutzers als VLAN-Trunk und steht das Gerät mit je einem Bein in allen benötigten VLANs. (Nachteile: Gerät muss es unterstützen, enormer Verwaltungsaufwand, nicht nachvollziehbare Kommunikation kann entstehen, Gerät kann als Jumphost verwendet werden)
Lösung 4: Dem Benutzer werden mehrere Netzwerkanschlüsse zur Verfügung gestellt, mit jeweils einem VLAN drauf, die IP-Adressierung erfolgt dynamisch und der Benutzer muss umstecken (Nachteile: Materialaufwand, Verbindungsverluste beim VLAN-Wechsel)
Gibt noch deutlich mehr Möglichkeiten, aber so wie du es beschreibst, sind dass so die drei gängigsten. Der Switch selbst, wenn er ein reiner Layer2-Switch ist, kann es nicht.
Lösung 2: Dem Rechner wird eine IP-Adresse zugewiesen, egal ob statisch oder dynamisch, die in einem der VLANs liegt und im Router berechtigt wird, mit den anderen VLANs zu kommunizieren (Nachteil: Ist die IP-Adresse bekannt, kann jeder mit jedem "unverwalteten" Gerät in die VLANs greifen)
Lösung 3: Im Endgerät legt man mehrere VLAN-Interfaces an, auf dem Switch definiert man den Switchport für den Rechner des Benutzers als VLAN-Trunk und steht das Gerät mit je einem Bein in allen benötigten VLANs. (Nachteile: Gerät muss es unterstützen, enormer Verwaltungsaufwand, nicht nachvollziehbare Kommunikation kann entstehen, Gerät kann als Jumphost verwendet werden)
Lösung 4: Dem Benutzer werden mehrere Netzwerkanschlüsse zur Verfügung gestellt, mit jeweils einem VLAN drauf, die IP-Adressierung erfolgt dynamisch und der Benutzer muss umstecken (Nachteile: Materialaufwand, Verbindungsverluste beim VLAN-Wechsel)
Gibt noch deutlich mehr Möglichkeiten, aber so wie du es beschreibst, sind dass so die drei gängigsten. Der Switch selbst, wenn er ein reiner Layer2-Switch ist, kann es nicht.
Kollege @tikayevent hat schon alles zu dem Thema gesagt.
Es reicht wenn der Switch oder ein externer Router es kann.
Die 2 grundsätzlichen Konzepte im VLAN Routing kannst du hier nachlesen:
Layer 2 Konzept mit VLAN L2 Switch und externenem Router:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Layer 3 Konzept mit VLAN L3 Switch:
Verständnissproblem Routing mit SG300-28
Lesen und verstehen...
Es reicht wenn der Switch oder ein externer Router es kann.
Die 2 grundsätzlichen Konzepte im VLAN Routing kannst du hier nachlesen:
Layer 2 Konzept mit VLAN L2 Switch und externenem Router:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Layer 3 Konzept mit VLAN L3 Switch:
Verständnissproblem Routing mit SG300-28
Lesen und verstehen...
Statische IP hört sich nach Abwesenheit von DNS an?
mit nur einer IP-Adresse an seiner Netzwerkkarte in verschiedene andere VLANs (die andere IP-Subnetze haben) zu kommunizieren!
Klares JA. Das kannst du ja nun auch den obigen Ausführungen und Tutorials selbst entnehmen.Ok, wenn Security Prio1 wäre.
Mmmhhh...das kommt drauf an.Layer 3 Switches haben in der Regel keine stateful Firewall an Bord. Wohl aber haben sie IP Access Listen (ACL) die eine sehr granulare und hinreichend sichere Zugangssteuerung bis zum Layer 4 (TCP/UDP Anwendungsports) zwischen den VLANs zulassen.
Wenn du allerdings zwingend eine stateful Firewall zwischen den VLANs benötigst kommst du um eine externe Firewall nicht drumrum.
Es gibt auch L3 Switches mit einer integrierten SPI Firewall (z.B. Mikrotik u.a.) aber da leidet dann meist der L3 Durchsatz. Bei solchen Geräten ist es dann davon abhängig welche Erwartungshaltung du in Bezug auf die Bandbreite beim L3 Forwarding zw. den VLANs hast.
Ohne konkrete Infos von dir zu diesen Punkten ist eine finale Antwort schwer möglich.
noch eine andere feinere englische Art das Top-Security ISO 270001-mäßig zu lösen?
Ja, dann immer mit Private oder Isolated VLANs (PVLANs) und einer SPI Firewall.
Hallo zusammen,
etwas dazu anraten!
Beispiel:
Ein Router oder eine Firewall sind am WAN Zugang für das WAN Routing zuständig, also kurzum
für alles in das Internet und vom Internet in die DMZ und das LAN.
Im LAN selber hat man gestapelte Switche idealer weise im "Ring" und alle Layer3, dann nimmt man dort die
Switchports der Teilnehmer und macht Sie zu Mitgliedern in mehreren VLANs und regelt via ACLs den Zugriff
auf die Geräte in den VLANs.
Dobby
Ich muss es weder selber umsetzen noch konfigurieren sondern will es nur verstehen! Also die Details
Sag uns doch bitte einmal die Geräte die bei Euch im Einsatz sind und wir können dann alles zielgerichtetetwas dazu anraten!
wie man was wo am Router einstellt sind ein Informations-overflow für mich! ;)
Hast Du denn einen oder zwei "Routing Points" im Netzwerk? Router oder Firewall und Layer3 Switch(e)?Beispiel:
Ein Router oder eine Firewall sind am WAN Zugang für das WAN Routing zuständig, also kurzum
für alles in das Internet und vom Internet in die DMZ und das LAN.
Im LAN selber hat man gestapelte Switche idealer weise im "Ring" und alle Layer3, dann nimmt man dort die
Switchports der Teilnehmer und macht Sie zu Mitgliedern in mehreren VLANs und regelt via ACLs den Zugriff
auf die Geräte in den VLANs.
Dobby
dann bekam dieser User eine weitere Netzwerkkarte.
Willkommen in der Netzwerk Steinzeit! Der Admin zieht sich seine Hosen dann sicher auch mit der Kneifzange an...Ohne Worte...
PVLANs war ein input den ich bisher noch nicht kannte.
Oha...wenn's schon an solchen einfachen Basics scheitert.Soweit ich sehe geht das noch eine Ebene Tiefer als normale VLANs
Nein. Sind lediglich VLANs die keine Any zu Any Kommunikation zulassen (ARP Blocking) sondern nur mit dem Uplink.Ggf. ist das aber in deinem Design auch kontraproduktiv wenn die User nicht zentral auf einem Server arbeiten sondern auch einzeln untereinander. Die Info fehlt. PVLANs verhindern die any-zu-any Kommunikation auf nicht freigebenen L2 Ports.
Keine Ahnung ob das in meinem scenario die beste Wahl ist.
Dann nützen aber auch die besten Denkanstöße nichts wenn du vom Verstehen her gar nicht in der Lage bist unterschiedliche Lösungen und ihre Pros und Cons für dein Design zu bewerten?! Mit umsetzen hat Obiges ja auch gar nichts zu tun!Ich bin kein Netzwerkler, VLANs mit ACL's sind doch auch nur vom Switch verwaltete "Regeln" welcher port wohin darf!? So wie quasi ein Radius Server für Windows Authentifizierung. Oder?
Ja und nein! Du vermischst hier jetzt 2 unterschiedliche Verfahren.Ja: in Bezug auf den inter VLAN IP Traffic wer und was wohin darf und nicht wohin darf
Nein: in Bezug auf Port Security mit 802.1x oder Mac Address Authentication und dynamischen VLANs, was eine andere Baustelle ist aber ggf. auch in dein Setup passt wenn man den Usern ihre Team VLANs automatisch zuweisen will.
Mal ehrlich: Meinst du wirklich das du der Richtige bist das zu bewerten? Nimm dir lieber jemanden an die Hand der die Grundlagen auch alle versteht. Ist nicht böse gemeint aber ggf. zielführender als ein gefährliches Halbwissen was man sich aus Foren zusammensucht.
In Umgebungen, in der Sicherheit Prio1 ist, würde man sowas vermutlich nicht bauen.
Da wäre z.B. ZeroTrust eine Lösung oder dynamische ACLs nach einer 802.1X-Authentifizierung oder IPSec im LAN.
VLANs selbst sind keine Sicherheitsfunktion, sondern es gehört zur Virtualisierung, sprich man trennt einfach nur Netzwerke auf Layer 2. Es erspart am Ende nur einen massiven Hardwareeinsatz durch Mehrfachnutzung der selben Hardware.
Die Sicherheit kommt ja erst an der Verbindungsstelle, also dem Router oder der routenden Firewall ins Spiel.
Da wäre z.B. ZeroTrust eine Lösung oder dynamische ACLs nach einer 802.1X-Authentifizierung oder IPSec im LAN.
VLANs selbst sind keine Sicherheitsfunktion, sondern es gehört zur Virtualisierung, sprich man trennt einfach nur Netzwerke auf Layer 2. Es erspart am Ende nur einen massiven Hardwareeinsatz durch Mehrfachnutzung der selben Hardware.
Die Sicherheit kommt ja erst an der Verbindungsstelle, also dem Router oder der routenden Firewall ins Spiel.
Weil ich hab mal gehört manche ältere Karten können nicht in mehreren VLANs sein
Befreie dich doch endlich einmal von dem Netzwerkkarten Ansatz. Das ist ja nun gruseligstes Netzwerk Mittelalter.Die Netzwerkkarte ist NICHT relevant für sowas da sie immer außen vor liegt, völlig egal wie alt die Karte ist.
Alle diese Dinge, auch die oben vom Kollegen @tikayevent zu Recht angesprochenen dynamischen ACLs, dynmaischen VLANs nach einer 802.1X-Authentifizierung usw. Das macht einzig das L3 Device was zwischen den VLANs vermittelt. In der Regel der Switch. Auf DEN kommt es also an und ausdrücklich nicht auf die Endgeräte NICs.
Moin,
Ich würde das davon abhängig machen, welcher "Sicherheitslevel" gewünscht wird.
Das einfachste wäre, jedem seine eigene Kiste für jedes TEAM/VLAN hinzustellen, so daß selbst über die Kiste des Mehrfachmitglieds keien daten "lecken" können. ggf halt mit einer Hauptmaschine, auf der für jedes VLAN eine eigene VM läuft.
lks
Ich würde das davon abhängig machen, welcher "Sicherheitslevel" gewünscht wird.
Das einfachste wäre, jedem seine eigene Kiste für jedes TEAM/VLAN hinzustellen, so daß selbst über die Kiste des Mehrfachmitglieds keien daten "lecken" können. ggf halt mit einer Hauptmaschine, auf der für jedes VLAN eine eigene VM läuft.
lks
Wenn's das denn nun war bitte deinen Thread dann hier auch als erledigt schliessen!