6
VLAN Aufteilung und Routing
Hallo zusammen,
ich bitte um ein paar Tipps.
Ich möchte gerne unser Netzwerk weiter segmentieren.
Vorhanden ist:
-Firewall
-Cisco L3 Switche
-Cisco L2 Switche
Wie sieht es aktuell aus?:
Es gibt ein Management VLAN.
Hier sind z.B. die Webinterface der Switche oder ILO's und IDRAC's drin.
Auf der Firewall wurde ein Interface in diesem Netz angelegt.
Via Firewallregeln wird der Zugriff auf das Netz gesteuert.
Clients, Server, Drucker etc. befinden sich weiterhin in einem Netz. (VLAN1)
Ich würde nun gerne die Server in ein anderes Netz packen und die Clients in Abteilungen aufsplitten.
Da die Clients weiterhin mit den Servern kommunizieren müssen, stellt sich mir die Frage:
Route ich auf dem Switch oder Firewall?
Wenn ich auf dem Switch route wäre es am sinnvollsten mit ACL's zu arbeiten?
Ansonsten habe ich die Netze zwar getrennt, durch das InterVlan Routing kann trotzdem jeder mit jedem Kommunizieren.
Wenn ich auf der Firewall route, habe ich zwar andere Konfigurationsmöglichkeiten, allerdings muss alles über oder durch die Firewall. (doppelter Datentraffic?)
Wie handhabt ihr es bei euch?
Bin über jeden Hinweis dankbar.
ich bitte um ein paar Tipps.
Ich möchte gerne unser Netzwerk weiter segmentieren.
Vorhanden ist:
-Firewall
-Cisco L3 Switche
-Cisco L2 Switche
Wie sieht es aktuell aus?:
Es gibt ein Management VLAN.
Hier sind z.B. die Webinterface der Switche oder ILO's und IDRAC's drin.
Auf der Firewall wurde ein Interface in diesem Netz angelegt.
Via Firewallregeln wird der Zugriff auf das Netz gesteuert.
Clients, Server, Drucker etc. befinden sich weiterhin in einem Netz. (VLAN1)
Ich würde nun gerne die Server in ein anderes Netz packen und die Clients in Abteilungen aufsplitten.
Da die Clients weiterhin mit den Servern kommunizieren müssen, stellt sich mir die Frage:
Route ich auf dem Switch oder Firewall?
Wenn ich auf dem Switch route wäre es am sinnvollsten mit ACL's zu arbeiten?
Ansonsten habe ich die Netze zwar getrennt, durch das InterVlan Routing kann trotzdem jeder mit jedem Kommunizieren.
Wenn ich auf der Firewall route, habe ich zwar andere Konfigurationsmöglichkeiten, allerdings muss alles über oder durch die Firewall. (doppelter Datentraffic?)
Wie handhabt ihr es bei euch?
Bin über jeden Hinweis dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5604420917
Url: https://administrator.de/contentid/5604420917
Printed on: April 24, 2024 at 03:04 o'clock
6 Comments
Latest comment
Lass den L3 Switch routen.
Erstelle ein Transfer-VLan zwischen der FW und dem L3 Router.
Der L3 Router bekommt als std.GW die IP des FW-Interfaces vom Transfer-VLAN.
Alle Server und Clients usw. bekommen als std.GW die IP ihres jeweiligen VLNA Interfaces. Fertig.
Auf dem L3 Router setzt du dann ACL's ein.
Erstelle ein Transfer-VLan zwischen der FW und dem L3 Router.
Der L3 Router bekommt als std.GW die IP des FW-Interfaces vom Transfer-VLAN.
Alle Server und Clients usw. bekommen als std.GW die IP ihres jeweiligen VLNA Interfaces. Fertig.
Auf dem L3 Router setzt du dann ACL's ein.
Mahlzeit,
welche Nutzen wird mit der Segmentierung erreicht?
Vielleicht geht es um IT-Sicherheit?
Physikalische und virtuelle Netzwerksegmentierung von EOL Geräten
Physikalische und virtuelle Netzwerksegmentierung von EOL Geräten
welche Nutzen wird mit der Segmentierung erreicht?
Vielleicht geht es um IT-Sicherheit?
Physikalische und virtuelle Netzwerksegmentierung von EOL Geräten
Physikalische und virtuelle Netzwerksegmentierung von EOL Geräten
Moinsen,
auch wenn ich nur als Hobbykelleradmin "arbeite" im Heimnetz: Cisco selber (und allgemein auch) schlagen vor, dass das default VLAN (1) keinen produktiven Datenverkehr machen sollte (auch keine Drucker
)...
Ich würde dir also analog dazu empfehlen:
- VLAN1 nicht produktiv zu nutzen, du kannst das VLAN1 auch auf allen Ports auf "Ausgenommen" stellen.
- Das native VLAN ist OOTB ebenfalls für die Trunks auf VLAN1 gestellt. Auch hier wird von Cisco selber empfohlen, dass das native VLAN ein eigenes dafür reserviertes VLAN bekommt.
Betrifft beides Sicherheitsaspekte im Netzwerk...
Je nach Firewall mache ich (im kleinen privaten Netz wohlgemerkt) das Routing vollständig via Firewall...einfach weil ich es komfortabler finde. Zwar habe ich hier überdimensioniert auch L3 switche, diese rennen aber nur unter L2 Einstellungen, da die pfsense das Routing übernimmt. Hab mich auch lang mit der Entscheidung geschlagen, war dann am Ende eine Frage der...ahem, hust...Faulheit.
Plus: für mein setting haben die meisten hier und anderswo davon eher abgeraten (Aufwand, Nutzerfreundlichkeit).
jm2c
Dazu haben die cisco switche hier (SOHO SG 350 und 250) AFAIK keine "einfache" Möglichkeit der Erreichbarkeit, wenn du aus einem anderen subnetz kommst. Cisco schreibt (in den Videos sagt) dazu immer, dass die GUI aus dem gleichen Subnetz erreichbar sei. Trotz aller Firewallregeln usw. hab ich es daher bis heute nicht geschafft, dass ich den switch (mit seiner IP aus, sagen wir VLAN5) aus zB VLAN 10, 20, 30 usw erreichen kann. Selbst wenn ich ein tapferes PASS auf dem VLAN10 Interface einrichte und ganz nach oben zerre...daher sind hier alles Netzwerkgeräte (Router, APs, switch usw) in einem eigenen VLAN. Möchte ich Zugriff, dann begebe ich mich mit dem Client eben auch in dieses...
(bestimmt kommt gleich jemand, dreht die Augen und erklärt mir, was ich bisher falsch gemacht habe... ;) )
auch wenn ich nur als Hobbykelleradmin "arbeite" im Heimnetz: Cisco selber (und allgemein auch) schlagen vor, dass das default VLAN (1) keinen produktiven Datenverkehr machen sollte (auch keine Drucker
)...Ich würde dir also analog dazu empfehlen:
- VLAN1 nicht produktiv zu nutzen, du kannst das VLAN1 auch auf allen Ports auf "Ausgenommen" stellen.
- Das native VLAN ist OOTB ebenfalls für die Trunks auf VLAN1 gestellt. Auch hier wird von Cisco selber empfohlen, dass das native VLAN ein eigenes dafür reserviertes VLAN bekommt.
Betrifft beides Sicherheitsaspekte im Netzwerk...
Je nach Firewall mache ich (im kleinen privaten Netz wohlgemerkt) das Routing vollständig via Firewall...einfach weil ich es komfortabler finde. Zwar habe ich hier überdimensioniert auch L3 switche, diese rennen aber nur unter L2 Einstellungen, da die pfsense das Routing übernimmt. Hab mich auch lang mit der Entscheidung geschlagen, war dann am Ende eine Frage der...ahem, hust...Faulheit.
Plus: für mein setting haben die meisten hier und anderswo davon eher abgeraten (Aufwand, Nutzerfreundlichkeit).
jm2c
Dazu haben die cisco switche hier (SOHO SG 350 und 250) AFAIK keine "einfache" Möglichkeit der Erreichbarkeit, wenn du aus einem anderen subnetz kommst. Cisco schreibt (in den Videos sagt) dazu immer, dass die GUI aus dem gleichen Subnetz erreichbar sei. Trotz aller Firewallregeln usw. hab ich es daher bis heute nicht geschafft, dass ich den switch (mit seiner IP aus, sagen wir VLAN5) aus zB VLAN 10, 20, 30 usw erreichen kann. Selbst wenn ich ein tapferes PASS auf dem VLAN10 Interface einrichte und ganz nach oben zerre...daher sind hier alles Netzwerkgeräte (Router, APs, switch usw) in einem eigenen VLAN. Möchte ich Zugriff, dann begebe ich mich mit dem Client eben auch in dieses...
(bestimmt kommt gleich jemand, dreht die Augen und erklärt mir, was ich bisher falsch gemacht habe... ;) )
Route ich auf dem Switch oder Firewall?
Kollege @th30ther hat ja schon alles Wesentliche dazu gesagt... Letztlich hängt es von deiner Security Policy und Performance Ansprüchen ab zu denen du leider keine hilfreichen Aussagen machst und man nur raten kann. Eine zielführende Hilfe ist deshalb schwer möglich. 
Vorteil Switch Routing:
- Wirespeed, d.h. hohe Performance beim Durchsatz
- Security Accesslisten auf Switches sind nicht stateful. Aufwändige Regelwerke bedingen aufwändige ACL Setups
- Sicherere SPI Regelwerke
- Schlechtere Performance. Bei einer sog. one armed Firewall muss der loklale VLAN Traffic immer 2mal über den Draht. Vom VLAN über den Draht zur FW und wieder über den gleichen Draht ins Ziel VLAN zurück. Die FW Anbindung an den Switch sollte also idealerweise immer ein LAG sein um die Bandbreite zu verteilen oder entsprechende Bandbreite haben.
Alternativ wäre ein hybrides Konzept was häufig verwendet wird.
Das Prinzip ist einfach: Alles was schnell sein muss und wenig Security Anforderungen hat auf dem Switch zu routen.
Alles was hohe Security Anforderungen hat routest du nur auf der FW. (nur L2 auf dem Switch)
So hat man immer einen guten Kompromiss aber auch etwas mehr Management Aufwand.
Such dir einfach das für dich Schönste und Passende heraus!
Nachteil Firewall Routing:
Schlechtere Performance. Bei einer sog. one armed Firewall muss der loklale VLAN Traffic immer 2mal über den Draht, > die Anbindung sollte also zumindestens ein LAG sein oder entsprechende Bandbreite haben
Schlechtere Performance. Bei einer sog. one armed Firewall muss der loklale VLAN Traffic immer 2mal über den Draht, > die Anbindung sollte also zumindestens ein LAG sein oder entsprechende Bandbreite haben
Ist das gleichzusetzten mit "Router on a Stick" ?
Vorteil Switch Routing:
Wirespeed d.h. hope Performance
Wirespeed d.h. hope Performance
Korrekt.
Vorteil Firewall Routing:
Sicherere SPI Regelwerke
Sicherere SPI Regelwerke
Auch korrekt. Hier könnte man überlegen eine zweite Firewall anzuschaffen, die dann nur fürs Routing zuständig ist und die Vorteiler von SPI mitbringt.
Nachteil Switch Routing:
Security Accesslisten auf Switches sind nicht stateful. Aufwändige Regelwerke bedingen aufwändige ACL Setups
Security Accesslisten auf Switches sind nicht stateful. Aufwändige Regelwerke bedingen aufwändige ACL Setups
das ist ätzend. Es muss dann ja für jede Richtung eine Regel erstellt werden. Inbound und Outbound.
Ist das gleichzusetzten mit "Router on a Stick" ?
Ja! Eine Firewall ist ja auch nur ein Router mit zusätzlicher Filteroption. 😉Es muss dann ja für jede Richtung eine Regel erstellt werden. Inbound und Outbound.
So ist es.
