6
VLAN für Multifunktionsgerät (Drucker+Scanner) korrekt Konfigurieren
Guten Tag,
ich bin relativ neu in der Materie VLAN, das grundlegende Prinzip von diesen habe ich verstanden.
Mir wurde aufgetragen in unserer Unternehmen ein VLAN für unsere Multifunktionskopiergeräte einzurichten um das Netzwerk zu entlasten.
Aktuell befinden sich alle Multifunktionsgerät, Rechner und der Printserver noch in einem Netzwerk.
Für Drucke ist ein Printserver mit einer Follow-Me Software (e-FOLLOW) eingerichtet, wie würde ich diesen am besten mit dem VLAN verbinden.
Mit den Kopiergeräten soll zukünftig auch per SMB-Scan in Netzwerklaufwerke auf einem Server in einem anderen VLAN gescannt werden, sowie Scan per Mail funktionieren.
Mir wurde von meinem Chef ein Layer 2 VLAN fähigen Switch zur Umsetzung (HPE ProCurve 2810-24G) zur Verfügung gestellt, das heißt ein routing Interface zwischen verschiedenen VLANs kann nicht konfiguriert werden.
Mir ist hier nicht ganz ersichtlich wie ich hier am besten vorgehe, da der Netzwerkverkehr in beide Richtung funktionieren soll. Ist es in diesem Fall überhaupt sinnvoll ein separates VLAN anzulegen oder macht dies nur für Netzwerkdrucker Sinn?
ich bin relativ neu in der Materie VLAN, das grundlegende Prinzip von diesen habe ich verstanden.
Mir wurde aufgetragen in unserer Unternehmen ein VLAN für unsere Multifunktionskopiergeräte einzurichten um das Netzwerk zu entlasten.
Aktuell befinden sich alle Multifunktionsgerät, Rechner und der Printserver noch in einem Netzwerk.
Für Drucke ist ein Printserver mit einer Follow-Me Software (e-FOLLOW) eingerichtet, wie würde ich diesen am besten mit dem VLAN verbinden.
Mit den Kopiergeräten soll zukünftig auch per SMB-Scan in Netzwerklaufwerke auf einem Server in einem anderen VLAN gescannt werden, sowie Scan per Mail funktionieren.
Mir wurde von meinem Chef ein Layer 2 VLAN fähigen Switch zur Umsetzung (HPE ProCurve 2810-24G) zur Verfügung gestellt, das heißt ein routing Interface zwischen verschiedenen VLANs kann nicht konfiguriert werden.
Mir ist hier nicht ganz ersichtlich wie ich hier am besten vorgehe, da der Netzwerkverkehr in beide Richtung funktionieren soll. Ist es in diesem Fall überhaupt sinnvoll ein separates VLAN anzulegen oder macht dies nur für Netzwerkdrucker Sinn?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 567610
Url: https://administrator.de/contentid/567610
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
6 Kommentare
Neuester Kommentar
Was ist denn der grundlegende Gedanke deines Chefs, dass er die MFP in einem gesonderten VLAN haben will?
Ganz ohne Routing wirst du wohl nicht auskommen, also irgendwo muss ein Router das VLAN aufnehmen oder du bastelst dir am Ende ziemlich einen zurecht. Eine Alternative wäre nämlich, dass ein Server ein "zweites Bein" erhält, mit dem er in dem VLAN steht und dieser Server dann der einzige Server ist, der mit den MFP kommunizieren kann. Würde aber auch bedeuten, dass dieser eine Server dann Printserver mit e-Follow sein muss und auch der Dateiserver für die SMB-Scans. Ob es jetzt ein vorhandener Router ist, der das VLAN-Routing übernimmt, ein Core-Switch oder irgendwas anderes, aber für eine sinnvolle Nutzung wäre irgendein Router schon vorteilhaft.
Es kann Sinn machen, wenn man die Drucker vom normalen Clientnetz abkoppelt, um Querkommunikation zu vermeiden, also ein Client spricht direkt mit einem Drucker, um z.B. Abrechnungsmodalitäten zu umgehen. Dieses kann man auf den größeren Geräten und/oder mit einer richtigen Konfiguration des Clients auch verhindern.
Ganz ohne Routing wirst du wohl nicht auskommen, also irgendwo muss ein Router das VLAN aufnehmen oder du bastelst dir am Ende ziemlich einen zurecht. Eine Alternative wäre nämlich, dass ein Server ein "zweites Bein" erhält, mit dem er in dem VLAN steht und dieser Server dann der einzige Server ist, der mit den MFP kommunizieren kann. Würde aber auch bedeuten, dass dieser eine Server dann Printserver mit e-Follow sein muss und auch der Dateiserver für die SMB-Scans. Ob es jetzt ein vorhandener Router ist, der das VLAN-Routing übernimmt, ein Core-Switch oder irgendwas anderes, aber für eine sinnvolle Nutzung wäre irgendein Router schon vorteilhaft.
Es kann Sinn machen, wenn man die Drucker vom normalen Clientnetz abkoppelt, um Querkommunikation zu vermeiden, also ein Client spricht direkt mit einem Drucker, um z.B. Abrechnungsmodalitäten zu umgehen. Dieses kann man auf den größeren Geräten und/oder mit einer richtigen Konfiguration des Clients auch verhindern.
Um die Drucker in ihrem VLAN dann zu erreichen benötigst du zwingend einen externen Router oder Layer 3 Switch denn der ProCurve 2810 ist ein Layer 2 only VLAN Switch.
Das hiesige VLAN Tutorial beantwortet umfassend alle deine Fragen zu dem Thema inklusive einer fertigen HP 2810er Switch Konfig auf dem Silbertablett.
Wie immer...: lesen, verstehen und dann umsetzen.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das hiesige VLAN Tutorial beantwortet umfassend alle deine Fragen zu dem Thema inklusive einer fertigen HP 2810er Switch Konfig auf dem Silbertablett.
Wie immer...: lesen, verstehen und dann umsetzen.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Vielen Dank für die schnelle Antwort.
Um das Netzwerk zu entlasten und aus Sicherheitsgründen, man könnte meinen er hat das kurz auf Wikipedia gelesen (also VLANs können definitiv sinvoll sein, nur bin ich mir in diesem Fall nicht sicher ob das so funktioniert wie er sich das vorstellt, ich wollte mich vorher erstmal informieren, bevor ich unqualifiziert wiederapreche) . Wir machen die IT nebenbei in einem kleinen Unternehmen, also verzeihen Sie diese “Amateur” fragen.
Wenn ich dann, entweder über einen Router oder L3 Switch, den Datentransfer in beide Richtungen frei gebe (SMB + Mail von VLAN1 in VLAN 2 und Druckjobs von VLAN 2 in VLAN 1 ) ist mir der Vorteil nicht ganz ersichtlich. (Nur weil es funktioniert ist es nicht immer gleich sinnvoll)
Um das Netzwerk zu entlasten und aus Sicherheitsgründen, man könnte meinen er hat das kurz auf Wikipedia gelesen (also VLANs können definitiv sinvoll sein, nur bin ich mir in diesem Fall nicht sicher ob das so funktioniert wie er sich das vorstellt, ich wollte mich vorher erstmal informieren, bevor ich unqualifiziert wiederapreche) . Wir machen die IT nebenbei in einem kleinen Unternehmen, also verzeihen Sie diese “Amateur” fragen.
Wenn ich dann, entweder über einen Router oder L3 Switch, den Datentransfer in beide Richtungen frei gebe (SMB + Mail von VLAN1 in VLAN 2 und Druckjobs von VLAN 2 in VLAN 1 ) ist mir der Vorteil nicht ganz ersichtlich. (Nur weil es funktioniert ist es nicht immer gleich sinnvoll)
In einen Forum dutzt man sich in der Regel unter IT Profis, also bitte nicht so förmlich hier !
Ein weiterer gewichtiger Punkt ist die Security, denn eine Trennung kann die Sicherheit erheblich verbessern. Das gilt insbesondere in der Trennung von WLANs, Gast WLANs und Telefonie Segmenten für das Firmen schon aus Datenschutzgründen rechtlich verpflichtet sind.
Letztlich also eine sinnvolle Maßnahme und am Beispiel der Druckernetze lässt er dich sicher mal üben ob du das technisch auf die Reihe bekommt.
ist mir der Vorteil nicht ganz ersichtlich.
Der Cheffe hat nicht ganz Unrecht. Segmentierung ist in Firmennetzen eigentlich generell üklich und dient zum Reduzieren der Broad- und Multicast Last in entsprechenden Segmenten und damit zur Skalierung und Erhaltung der Performance in Unternehmensnetzen.Ein weiterer gewichtiger Punkt ist die Security, denn eine Trennung kann die Sicherheit erheblich verbessern. Das gilt insbesondere in der Trennung von WLANs, Gast WLANs und Telefonie Segmenten für das Firmen schon aus Datenschutzgründen rechtlich verpflichtet sind.
Letztlich also eine sinnvolle Maßnahme und am Beispiel der Druckernetze lässt er dich sicher mal üben ob du das technisch auf die Reihe bekommt.
Aloha orgalT,
Dein Chef hat schon Recht. Ab einer gewissen Anzahl an Geräten in Netzen, ist eine Segmentierung des Unernehmensnetzwerkes schon sinnvoll.
Dazu sollte man zum VLAN folgendes wissen:
Ein VLAN bildet eine Broadcast Domäne. Bedeutet, jeder Client innerhalb eines VLANs bekommt von jedem Broadcast Anfragen mit, was das Netz gut auslasten kann (in der Regel ist dies der Fall, wenn keine Maßnahmen dagegen getroffen werden).
Es gibt verschiedene Herangehensweisen um so eine Strategie umzusetzen.
Wir selber setzen bei uns auch über 500 Drucker mit Follow me ein.
Du wirst aber bei einer Netztrennung leider nicht, wie die anderen schon geschrieben haben, um eine Routing Instanz herumkommen. Das kann durch L3 Switche geschehen, je nachdem wie groß euer Netzwerk ist, auch durch eine kleine Firewall beispielsweise, damit hättest du auch gleich die Möglichkeit der Regelbasierten Trennung Deiner internen Netze mit externen Netzen (Kann durchaus interessant sein, weil bei uns die Firma der Drucker diese überwacht und automatisch z.b. Tonerbestellungen ausgelöst werden).
Aber grundsätzlich: Netztrennung, setzt immer eine Routing Instanz voraus.
Wie viele Switche habt ihr denn im Einsatz?
Je nach Größe des Netzwerks, macht es z.B. auch Sinn, ein Clientnetz, ein Servernetz und ein Druckernetz zu haben. Nicht nur wegen der Traffic Minderung jedes einzelnen VLANs sondern auch wegen die Sicherheit (das die ist bewusst). Du kannst dann etwas granularer regeln, welches Netzwerkgerät wohin was sprechen darf.
Dein Chef hat schon Recht. Ab einer gewissen Anzahl an Geräten in Netzen, ist eine Segmentierung des Unernehmensnetzwerkes schon sinnvoll.
Dazu sollte man zum VLAN folgendes wissen:
Ein VLAN bildet eine Broadcast Domäne. Bedeutet, jeder Client innerhalb eines VLANs bekommt von jedem Broadcast Anfragen mit, was das Netz gut auslasten kann (in der Regel ist dies der Fall, wenn keine Maßnahmen dagegen getroffen werden).
Es gibt verschiedene Herangehensweisen um so eine Strategie umzusetzen.
Wir selber setzen bei uns auch über 500 Drucker mit Follow me ein.
Du wirst aber bei einer Netztrennung leider nicht, wie die anderen schon geschrieben haben, um eine Routing Instanz herumkommen. Das kann durch L3 Switche geschehen, je nachdem wie groß euer Netzwerk ist, auch durch eine kleine Firewall beispielsweise, damit hättest du auch gleich die Möglichkeit der Regelbasierten Trennung Deiner internen Netze mit externen Netzen (Kann durchaus interessant sein, weil bei uns die Firma der Drucker diese überwacht und automatisch z.b. Tonerbestellungen ausgelöst werden).
Aber grundsätzlich: Netztrennung, setzt immer eine Routing Instanz voraus.
Wie viele Switche habt ihr denn im Einsatz?
Je nach Größe des Netzwerks, macht es z.B. auch Sinn, ein Clientnetz, ein Servernetz und ein Druckernetz zu haben. Nicht nur wegen der Traffic Minderung jedes einzelnen VLANs sondern auch wegen die Sicherheit (das die ist bewusst). Du kannst dann etwas granularer regeln, welches Netzwerkgerät wohin was sprechen darf.
Der TO hat ja keinerle Interesse mehr an einer zielführenden Lösung wie man am fehlenden Feedback ja auch sieht. Vergebliche Liebesmüh' hier also nochwas zum Thema zu posten.
Er hat es nicht einmal geschafft den Thread abzuschliessen:
Wie kann ich einen Beitrag als gelöst markieren?
Er hat es nicht einmal geschafft den Thread abzuschliessen:
Wie kann ich einen Beitrag als gelöst markieren?
