VLAN Aufteilung

Mitglied: manu87

manu87 (Level 1) - Jetzt verbinden

25.04.2021 um 22:01 Uhr, 957 Aufrufe, 9 Kommentare, 1 Danke

Hi zusammen,

kurze Frage zum Aufbau von VLANs und deren Struktur.
Ich habe für uns nun folgende Struktur überlegt und bitte um Feedback:

VLAN 0 Management VLAN
VLAN 10 Physische Server
VLAN 20 Virtuelle Server
VLAN 50 Clients Forschung
VLAN 51 Clients Verwaltung 1
VLAN 52 Clients Verwaltung 2
VLAN 53 WLAN
VLAN 54 Sonstige Clients
VLAN 60 Produktion
VLAN 70 Telefone
VLAN 80 Drucker
VLAN 200 Smartphone WLAN
VLAN 201 Gäste WLAN

Die ACLs werden so gesetzt, dass nur zwingend benötigte VLANs für das jeweilige VLAN erreichbar ist.

Vielen Dank für Euer Feedback!
Mitglied: chgorges
25.04.2021 um 22:12 Uhr
Moin,

wo ist die Frage? Nummerierung und Benamsung sind wie immer Schall und Rauch, solange du bei Ersterem bei 4095 aufhörst.

VG
Bitte warten ..
Mitglied: em-pie
25.04.2021 um 22:18 Uhr
Moin,

Joa, kann man so machen, mit einer Ausnahme: mach aus VLAN 0 ein VLAN 1.


Der Rest ist Kosmetik:-) face-smile

Gruß
em-pie
Bitte warten ..
Mitglied: Visucius
25.04.2021, aktualisiert um 22:47 Uhr
Bist Du Dir sicher, dass das nicht etwas arg „partikular“ ist? Die Zugriffe müssen doch alle auch gemanaged werden?

Vielleicht habe ich da selber auch ein falsches Verständnis: Nur wo liegt denn der Vorteil die Server abzutrennen - noch dazu getrennt nach VM und bare? Dann gibst Du doch anschließend doch allen Clients Zugriff auf die 2 Servernetze?
Ich würde wohl eher „Verwaltung“ Client und Server ins gleiche VLan packen?!
Bitte warten ..
Mitglied: tech-flare
26.04.2021 um 07:30 Uhr
Vielleicht habe ich da selber auch ein falsches Verständnis: Nur wo liegt denn der Vorteil die Server abzutrennen - noch dazu getrennt nach VM und bare?
Stichwort Sicherheit ?
Physisch und VM muss man nicht unterteilen aber Server und Clients sollten schon separat sein.

Dann gibst Du doch anschließend doch allen Clients Zugriff auf die 2 Servernetze?
Ich würde wohl eher „Verwaltung“ Client und Server ins gleiche VLan packen?!
Du gibst also alles frei? Wozu brauch ein Client einen zugänglichen RDP Port auf einen Fileserver ?
Man gibts nur die notwendigen Ports frei.

Dann hat man für die IT und MAnagement VLAN womit man eben auch via RDP Zugriff hat.
Bitte warten ..
Mitglied: ElmerAcmeee
26.04.2021 um 07:44 Uhr
Moin,
VLAN 0 und 4095 sind normalerweise nicht zulässig. Das sind "reservierte" VLANs.
Auf VLAN 1 sollte man auch verzichten, da dies ohne Konfiguration das native/default VLAN ist > "könnte" damit ein Security Thema werden.

Was ist der Grund für die Aufteilung?

Sofern mal zukünftig eine Firewall zwischen den VLANs stehen soll, muss man sich überlegen von wo nach wo der Traffic erlaubt, verhindert oder analysiert werden soll.
So könnten u.U. mehr Server VLANs Sinn ergeben. z.B. wenn ein altes OS nicht mitten im Server-Netz stehen soll.
Oder Systeme auf die man nicht direkt Einfluss hat in ein eigenes VLAN packen.

Mehr Sicherheit ist natürlich auch mit mehr Aufwand verbunden...
Gruß und ruhige Woche
Bitte warten ..
Mitglied: Visucius
26.04.2021, aktualisiert um 08:19 Uhr
@tech-flare:
Hm, ok. Interessanter Aspekt. Bei mir laufen auf "zentralen" Geräten normalerweise die systemeigenen Firewalls und über die kann ich den RDP-Zugriff ja auch einschränken ... aber die Lösung mit dem (Management-)Vlan hat Charme. In meinen kleinen Setups sitzt der "Feind" üblicherweise nicht im gleichen Büro ;-) face-wink

Deshalb konzentrierte ich mich bisher bei VLan auf eine "vertikale" Trennung zwischen Bereichen, Firmen, Abteilungen, deren Infrastruktur eher wenig miteinander zu tun haben um die Zugriffsmöglichkeiten (nur) klein zu halten. Auch um die "Übergänge" und damit den Admin-Auwand gering zu halten.

Danke!
Bitte warten ..
Mitglied: aqui
26.04.2021 um 10:00 Uhr
die Lösung mit dem (Management-)Vlan hat Charme.
Ist best Practise in jedem segmentierten Netz und macht jeder Netz Admin so. Keiner möchte logischerweise die Management Zugänge der Infrastruktur in irgendwelchen Produktiv Netzen haben.
Bitte warten ..
Mitglied: manu87
27.04.2021 um 09:41 Uhr
@aqui Findest Du meine Einteilung so gut? Oder würdest du noch mehr / weniger aufteilen?
Bitte warten ..
Mitglied: aqui
27.04.2021 um 11:16 Uhr
Ob man virtuelle und physische Server trennen mus sist die Frage. Gut wenn das um die 100 sind sicher sinnvoll aber bei 5 eher nicht.
Was fehlt ist auch ein Mitarbeiter WLAN.
Da siehst du aber schon die Problematik für Externe die weder deine Anforderungen noch Organisations Strukturen kennen das zu bewerten. Das kannst nur DU selber !
Generell ist es von der Aufteilung aber absolut OK.
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Unterschiedliche IP-Adressbereiche im Netzwerk
achkleinVor 1 TagFrageLAN, WAN, Wireless17 Kommentare

Hallo, ich stehe vor einem Problem mit der WLAN-Verbindung zum Router (Fritzbox Cable 6490). Das verbundene Notebook hat die Adresse 192.168.0.164, Gateway ist 192.168.0.149: ...

Off Topic
Microsoft und der (leidige) Datenschutz
Franz-Josef-IIVor 1 TagAllgemeinOff Topic18 Kommentare

Hello Ich möchte vorausschicken, daß ich rein prinzipiell nichts gegen Microsoft habe, eher gegen die US-amerikanische Politik 😊 Microsoft bietet die Datenverarbeitung in der ...

Off Topic
32 bit Problem
brammerVor 1 TagAllgemeinOff Topic9 Kommentare

Hallo, also das ist mal ein Problem das ich auch haben möchte eine Aktie ist mehr Wert als das die Börsensoftware darstellen kann. brammer

Hardware
Thin- oder Zero-Client für RDP und Dual-Monitor im LAN gesucht
FestplattenaufzieherVor 1 TagFrageHardware9 Kommentare

Hallo, Kurzfassung meiner Frage: Ich suche Thin/Zero-Clients (4 Stück) mit Dual-Monitor-Unterstützung für den RDP-Zugriff auf PCs in einem LAN - idealerweise lautlos und relativ ...

Windows 10
Windows 10 2021-04 end of life?
gelöst Paedi12Vor 1 TagFrageWindows 103 Kommentare

Hi Leute! Ich bin gerade auf der Suche, wie lange die Windows Version 2021-04 unterstützt wird. Kann aber nichts finden. Hat jemand eine Ahnung, ...

Switche und Hubs
Netgear Switch Problem bei VLAN Konfiguration
gelöst meltersVor 1 TagFrageSwitche und Hubs15 Kommentare

Hallo, ich habe einen Netgear XS716T Switch zum Testen in Betrieb genommen, komme aber mit der VLAN Konfiguration nicht so ganz klar. Bislang habe ...

Router & Routing
Suche Tipps für Selfmade-Load-Balancing-Router auf HP MicroServer Gen10+
gelöst MagicChris86Vor 1 TagFrageRouter & Routing7 Kommentare

Hi Leute, ich habe einen HP MicroServer Gen10+ Performance übrig, der bei einer Kundin rausgeflogen ist, weil sie mehr Power brauchte für Desktopvirtualisierung für ...

LAN, WAN, Wireless
Richtfunk Beratung
gelöst PretreVor 1 TagFrageLAN, WAN, Wireless5 Kommentare

Hallo zusammen, hab folgendes vor, die 2 Standorte sollen per Richtfunk (PTMP) mit Internet versorgt werden. Habs mal skizziert, denke das ist einfacher zu ...