9
VLAN Aufteilung
Hi zusammen,
kurze Frage zum Aufbau von VLANs und deren Struktur.
Ich habe für uns nun folgende Struktur überlegt und bitte um Feedback:
VLAN 0 Management VLAN
VLAN 10 Physische Server
VLAN 20 Virtuelle Server
VLAN 50 Clients Forschung
VLAN 51 Clients Verwaltung 1
VLAN 52 Clients Verwaltung 2
VLAN 53 WLAN
VLAN 54 Sonstige Clients
VLAN 60 Produktion
VLAN 70 Telefone
VLAN 80 Drucker
VLAN 200 Smartphone WLAN
VLAN 201 Gäste WLAN
Die ACLs werden so gesetzt, dass nur zwingend benötigte VLANs für das jeweilige VLAN erreichbar ist.
Vielen Dank für Euer Feedback!
kurze Frage zum Aufbau von VLANs und deren Struktur.
Ich habe für uns nun folgende Struktur überlegt und bitte um Feedback:
VLAN 0 Management VLAN
VLAN 10 Physische Server
VLAN 20 Virtuelle Server
VLAN 50 Clients Forschung
VLAN 51 Clients Verwaltung 1
VLAN 52 Clients Verwaltung 2
VLAN 53 WLAN
VLAN 54 Sonstige Clients
VLAN 60 Produktion
VLAN 70 Telefone
VLAN 80 Drucker
VLAN 200 Smartphone WLAN
VLAN 201 Gäste WLAN
Die ACLs werden so gesetzt, dass nur zwingend benötigte VLANs für das jeweilige VLAN erreichbar ist.
Vielen Dank für Euer Feedback!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666092
Url: https://administrator.de/contentid/666092
Printed on: April 24, 2024 at 01:04 o'clock
9 Comments
Latest comment
Moin,
wo ist die Frage? Nummerierung und Benamsung sind wie immer Schall und Rauch, solange du bei Ersterem bei 4095 aufhörst.
VG
wo ist die Frage? Nummerierung und Benamsung sind wie immer Schall und Rauch, solange du bei Ersterem bei 4095 aufhörst.
VG
Moin,
Joa, kann man so machen, mit einer Ausnahme: mach aus VLAN 0 ein VLAN 1.
Der Rest ist Kosmetik
Gruß
em-pie
Joa, kann man so machen, mit einer Ausnahme: mach aus VLAN 0 ein VLAN 1.
Der Rest ist Kosmetik
Gruß
em-pie
Bist Du Dir sicher, dass das nicht etwas arg „partikular“ ist? Die Zugriffe müssen doch alle auch gemanaged werden?
Vielleicht habe ich da selber auch ein falsches Verständnis: Nur wo liegt denn der Vorteil die Server abzutrennen - noch dazu getrennt nach VM und bare? Dann gibst Du doch anschließend doch allen Clients Zugriff auf die 2 Servernetze?
Ich würde wohl eher „Verwaltung“ Client und Server ins gleiche VLan packen?!
Vielleicht habe ich da selber auch ein falsches Verständnis: Nur wo liegt denn der Vorteil die Server abzutrennen - noch dazu getrennt nach VM und bare? Dann gibst Du doch anschließend doch allen Clients Zugriff auf die 2 Servernetze?
Ich würde wohl eher „Verwaltung“ Client und Server ins gleiche VLan packen?!
1
Vielleicht habe ich da selber auch ein falsches Verständnis: Nur wo liegt denn der Vorteil die Server abzutrennen - noch dazu getrennt nach VM und bare?
Stichwort Sicherheit ?Physisch und VM muss man nicht unterteilen aber Server und Clients sollten schon separat sein.
Dann gibst Du doch anschließend doch allen Clients Zugriff auf die 2 Servernetze?
Ich würde wohl eher „Verwaltung“ Client und Server ins gleiche VLan packen?!
Du gibst also alles frei? Wozu brauch ein Client einen zugänglichen RDP Port auf einen Fileserver ?Man gibts nur die notwendigen Ports frei.
Dann hat man für die IT und MAnagement VLAN womit man eben auch via RDP Zugriff hat.
Moin,
VLAN 0 und 4095 sind normalerweise nicht zulässig. Das sind "reservierte" VLANs.
Auf VLAN 1 sollte man auch verzichten, da dies ohne Konfiguration das native/default VLAN ist > "könnte" damit ein Security Thema werden.
Was ist der Grund für die Aufteilung?
Sofern mal zukünftig eine Firewall zwischen den VLANs stehen soll, muss man sich überlegen von wo nach wo der Traffic erlaubt, verhindert oder analysiert werden soll.
So könnten u.U. mehr Server VLANs Sinn ergeben. z.B. wenn ein altes OS nicht mitten im Server-Netz stehen soll.
Oder Systeme auf die man nicht direkt Einfluss hat in ein eigenes VLAN packen.
Mehr Sicherheit ist natürlich auch mit mehr Aufwand verbunden...
Gruß und ruhige Woche
VLAN 0 und 4095 sind normalerweise nicht zulässig. Das sind "reservierte" VLANs.
Auf VLAN 1 sollte man auch verzichten, da dies ohne Konfiguration das native/default VLAN ist > "könnte" damit ein Security Thema werden.
Was ist der Grund für die Aufteilung?
Sofern mal zukünftig eine Firewall zwischen den VLANs stehen soll, muss man sich überlegen von wo nach wo der Traffic erlaubt, verhindert oder analysiert werden soll.
So könnten u.U. mehr Server VLANs Sinn ergeben. z.B. wenn ein altes OS nicht mitten im Server-Netz stehen soll.
Oder Systeme auf die man nicht direkt Einfluss hat in ein eigenes VLAN packen.
Mehr Sicherheit ist natürlich auch mit mehr Aufwand verbunden...
Gruß und ruhige Woche
@tech-flare:
Hm, ok. Interessanter Aspekt. Bei mir laufen auf "zentralen" Geräten normalerweise die systemeigenen Firewalls und über die kann ich den RDP-Zugriff ja auch einschränken ... aber die Lösung mit dem (Management-)Vlan hat Charme. In meinen kleinen Setups sitzt der "Feind" üblicherweise nicht im gleichen Büro
Deshalb konzentrierte ich mich bisher bei VLan auf eine "vertikale" Trennung zwischen Bereichen, Firmen, Abteilungen, deren Infrastruktur eher wenig miteinander zu tun haben um die Zugriffsmöglichkeiten (nur) klein zu halten. Auch um die "Übergänge" und damit den Admin-Auwand gering zu halten.
Danke!
Hm, ok. Interessanter Aspekt. Bei mir laufen auf "zentralen" Geräten normalerweise die systemeigenen Firewalls und über die kann ich den RDP-Zugriff ja auch einschränken ... aber die Lösung mit dem (Management-)Vlan hat Charme. In meinen kleinen Setups sitzt der "Feind" üblicherweise nicht im gleichen Büro
Deshalb konzentrierte ich mich bisher bei VLan auf eine "vertikale" Trennung zwischen Bereichen, Firmen, Abteilungen, deren Infrastruktur eher wenig miteinander zu tun haben um die Zugriffsmöglichkeiten (nur) klein zu halten. Auch um die "Übergänge" und damit den Admin-Auwand gering zu halten.
Danke!
die Lösung mit dem (Management-)Vlan hat Charme.
Ist best Practise in jedem segmentierten Netz und macht jeder Netz Admin so. Keiner möchte logischerweise die Management Zugänge der Infrastruktur in irgendwelchen Produktiv Netzen haben.
@aqui Findest Du meine Einteilung so gut? Oder würdest du noch mehr / weniger aufteilen?
Ob man virtuelle und physische Server trennen mus sist die Frage. Gut wenn das um die 100 sind sicher sinnvoll aber bei 5 eher nicht.
Was fehlt ist auch ein Mitarbeiter WLAN.
Da siehst du aber schon die Problematik für Externe die weder deine Anforderungen noch Organisations Strukturen kennen das zu bewerten. Das kannst nur DU selber !
Generell ist es von der Aufteilung aber absolut OK.
Was fehlt ist auch ein Mitarbeiter WLAN.
Da siehst du aber schon die Problematik für Externe die weder deine Anforderungen noch Organisations Strukturen kennen das zu bewerten. Das kannst nur DU selber !
Generell ist es von der Aufteilung aber absolut OK.
