newit1
Goto Top

VLAN Aufteilung und Routing

Hallo zusammen,

ich bitte um ein paar Tipps.

Ich möchte gerne unser Netzwerk weiter segmentieren.

Vorhanden ist:
-Firewall
-Cisco L3 Switche
-Cisco L2 Switche

Wie sieht es aktuell aus?:
Es gibt ein Management VLAN.
Hier sind z.B. die Webinterface der Switche oder ILO's und IDRAC's drin.
Auf der Firewall wurde ein Interface in diesem Netz angelegt.
Via Firewallregeln wird der Zugriff auf das Netz gesteuert.


Clients, Server, Drucker etc. befinden sich weiterhin in einem Netz. (VLAN1)
Ich würde nun gerne die Server in ein anderes Netz packen und die Clients in Abteilungen aufsplitten.

Da die Clients weiterhin mit den Servern kommunizieren müssen, stellt sich mir die Frage:

Route ich auf dem Switch oder Firewall?

Wenn ich auf dem Switch route wäre es am sinnvollsten mit ACL's zu arbeiten?
Ansonsten habe ich die Netze zwar getrennt, durch das InterVlan Routing kann trotzdem jeder mit jedem Kommunizieren.

Wenn ich auf der Firewall route, habe ich zwar andere Konfigurationsmöglichkeiten, allerdings muss alles über oder durch die Firewall. (doppelter Datentraffic?)

Wie handhabt ihr es bei euch?
Bin über jeden Hinweis dankbar.

Content-ID: 5604420917

Url: https://administrator.de/forum/vlan-aufteilung-und-routing-5604420917.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

Ueba3ba
Ueba3ba 24.01.2023 aktualisiert um 14:13:47 Uhr
Goto Top
Lass den L3 Switch routen.

Erstelle ein Transfer-VLan zwischen der FW und dem L3 Router.

Der L3 Router bekommt als std.GW die IP des FW-Interfaces vom Transfer-VLAN.
Alle Server und Clients usw. bekommen als std.GW die IP ihres jeweiligen VLNA Interfaces. Fertig.

Auf dem L3 Router setzt du dann ACL's ein.
nachgefragt
nachgefragt 24.01.2023 um 14:18:13 Uhr
Goto Top
Mahlzeit,
welche Nutzen wird mit der Segmentierung erreicht?

Vielleicht geht es um IT-Sicherheit?
Physikalische und virtuelle Netzwerksegmentierung von EOL Geräten
Physikalische und virtuelle Netzwerksegmentierung von EOL Geräten
the.other
the.other 24.01.2023 aktualisiert um 17:06:15 Uhr
Goto Top
Moinsen,
auch wenn ich nur als Hobbykelleradmin "arbeite" im Heimnetz: Cisco selber (und allgemein auch) schlagen vor, dass das default VLAN (1) keinen produktiven Datenverkehr machen sollte (auch keine Drucker face-smile )...

Ich würde dir also analog dazu empfehlen:
- VLAN1 nicht produktiv zu nutzen, du kannst das VLAN1 auch auf allen Ports auf "Ausgenommen" stellen.
- Das native VLAN ist OOTB ebenfalls für die Trunks auf VLAN1 gestellt. Auch hier wird von Cisco selber empfohlen, dass das native VLAN ein eigenes dafür reserviertes VLAN bekommt.
Betrifft beides Sicherheitsaspekte im Netzwerk...

Je nach Firewall mache ich (im kleinen privaten Netz wohlgemerkt) das Routing vollständig via Firewall...einfach weil ich es komfortabler finde. Zwar habe ich hier überdimensioniert auch L3 switche, diese rennen aber nur unter L2 Einstellungen, da die pfsense das Routing übernimmt. Hab mich auch lang mit der Entscheidung geschlagen, war dann am Ende eine Frage der...ahem, hust...Faulheit. face-smile
Plus: für mein setting haben die meisten hier und anderswo davon eher abgeraten (Aufwand, Nutzerfreundlichkeit).
jm2c

Dazu haben die cisco switche hier (SOHO SG 350 und 250) AFAIK keine "einfache" Möglichkeit der Erreichbarkeit, wenn du aus einem anderen subnetz kommst. Cisco schreibt (in den Videos sagt) dazu immer, dass die GUI aus dem gleichen Subnetz erreichbar sei. Trotz aller Firewallregeln usw. hab ich es daher bis heute nicht geschafft, dass ich den switch (mit seiner IP aus, sagen wir VLAN5) aus zB VLAN 10, 20, 30 usw erreichen kann. Selbst wenn ich ein tapferes PASS auf dem VLAN10 Interface einrichte und ganz nach oben zerre...daher sind hier alles Netzwerkgeräte (Router, APs, switch usw) in einem eigenen VLAN. Möchte ich Zugriff, dann begebe ich mich mit dem Client eben auch in dieses...
(bestimmt kommt gleich jemand, dreht die Augen und erklärt mir, was ich bisher falsch gemacht habe... ;) )
aqui
aqui 24.01.2023, aktualisiert am 25.01.2023 um 10:08:13 Uhr
Goto Top
Route ich auf dem Switch oder Firewall?
Kollege @th30ther hat ja schon alles Wesentliche dazu gesagt... Letztlich hängt es von deiner Security Policy und Performance Ansprüchen ab zu denen du leider keine hilfreichen Aussagen machst und man nur raten kann. Eine zielführende Hilfe ist deshalb schwer möglich. face-sad

Vorteil Switch Routing:
  • Wirespeed, d.h. hohe Performance beim Durchsatz
Nachteil Switch Routing:
  • Security Accesslisten auf Switches sind nicht stateful. Aufwändige Regelwerke bedingen aufwändige ACL Setups
Vorteil Firewall Routing:
  • Sicherere SPI Regelwerke
Nachteil Firewall Routing:
  • Schlechtere Performance. Bei einer sog. one armed Firewall muss der loklale VLAN Traffic immer 2mal über den Draht. Vom VLAN über den Draht zur FW und wieder über den gleichen Draht ins Ziel VLAN zurück. Die FW Anbindung an den Switch sollte also idealerweise immer ein LAG sein um die Bandbreite zu verteilen oder entsprechende Bandbreite haben.

Alternativ wäre ein hybrides Konzept was häufig verwendet wird.
Das Prinzip ist einfach: Alles was schnell sein muss und wenig Security Anforderungen hat auf dem Switch zu routen.
Alles was hohe Security Anforderungen hat routest du nur auf der FW. (nur L2 auf dem Switch)
So hat man immer einen guten Kompromiss aber auch etwas mehr Management Aufwand.
Such dir einfach das für dich Schönste und Passende heraus!
Ueba3ba
Ueba3ba 25.01.2023 aktualisiert um 09:19:42 Uhr
Goto Top
Nachteil Firewall Routing:
Schlechtere Performance. Bei einer sog. one armed Firewall muss der loklale VLAN Traffic immer 2mal über den Draht, > die Anbindung sollte also zumindestens ein LAG sein oder entsprechende Bandbreite haben

Ist das gleichzusetzten mit "Router on a Stick" ?


Vorteil Switch Routing:
Wirespeed d.h. hope Performance

Korrekt.

Vorteil Firewall Routing:
Sicherere SPI Regelwerke

Auch korrekt. Hier könnte man überlegen eine zweite Firewall anzuschaffen, die dann nur fürs Routing zuständig ist und die Vorteiler von SPI mitbringt.

Nachteil Switch Routing:
Security Accesslisten auf Switches sind nicht stateful. Aufwändige Regelwerke bedingen aufwändige ACL Setups

das ist ätzend. Es muss dann ja für jede Richtung eine Regel erstellt werden. Inbound und Outbound.
aqui
aqui 25.01.2023 um 10:03:39 Uhr
Goto Top
Ist das gleichzusetzten mit "Router on a Stick" ?
Ja! Eine Firewall ist ja auch nur ein Router mit zusätzlicher Filteroption. 😉
Es muss dann ja für jede Richtung eine Regel erstellt werden. Inbound und Outbound.
So ist es.