136423
Dec 17, 2018
2148
9
0
VLAN Konfiguration - Bitte um Hilfe
Liebe Community,
hier bin ich wieder. Diesmal mit einer Frage an euch zum Thema VLAN-Konfiguration.
Wir haben ein kleines Netzwerk mit einem einzelnen Layer-3-Switch (Cisco SG300) und einer Firewall (Cisco ASA 5508-X).
Alle unsere Subnetze hängen an dem Layer-3-Switch, sowohl die von dem Layer-3-Switch gerouteten Netze, als auch die, von der Firewall gerouteten Netze (dann entsprechend mit einem zusätzlichen Firewall-Uplink).
Wir wollen die Subnetze nun zusätzlich noch in verschiedene VLANs bringen und haben den Layer-3-Switch schon entsprechend konfiguriert. Eigenartigerweise können die Clients aber immernoch untereinander kommunizieren.
Wir haben folgende Beispieleinstellungen:
VLAN 11:
Ports 5-10:
Administrative PVID => 11
Interface VLAN-Mode => Access
Frame Type => Admit All
Ingress-Filtering => Enabled
Membership-Type => Untagged
VLAN 22:
Ports 11-15:
Administrative PVID => 22
Interface VLAN-Mode => Access
Frame Type => Admit All
Ingress-Filtering => Enabled
Membership-Type => Untagged
1. Kann es sein, dass die Administrative PVID wirklich "nur" für administrative Zwecke von Portgruppen verwendet wird und die VLANs noch gar nicht initiiert?
2. Ist es richtig, dass ich hier den Interface VLAN-Mode eher auf "General" wechseln sollte und jedem Port dann noch einmal eine Administrative PVID zuweise?
3. Wer "Tagged" dann letztlich eigentlich die Pakete? Die Client selbst, oder der Port, an dem der Client hängt? Erstere Variante wäre ja sicherlich besser, allerdings verwenden wir keine weiteren Layer-2/3 Switch (derzeit also 1 Client je Port) und ich bin mir auch nicht sicher, ob jeder Client von uns das VLAN Tagging unterstützt.
4. Ist es möglich mit einem herkömmlichen Layer-3-Switch das Inter-VLAN Routing auf einzlne Ports zu beschränken?
=> Falls nicht, macht es vielleicht sogar Sinn die Einstellungen so zu belassen und MAC-ACL zu verwenden?
Liebe Grüße,
niLuxx
hier bin ich wieder. Diesmal mit einer Frage an euch zum Thema VLAN-Konfiguration.
Wir haben ein kleines Netzwerk mit einem einzelnen Layer-3-Switch (Cisco SG300) und einer Firewall (Cisco ASA 5508-X).
Alle unsere Subnetze hängen an dem Layer-3-Switch, sowohl die von dem Layer-3-Switch gerouteten Netze, als auch die, von der Firewall gerouteten Netze (dann entsprechend mit einem zusätzlichen Firewall-Uplink).
Wir wollen die Subnetze nun zusätzlich noch in verschiedene VLANs bringen und haben den Layer-3-Switch schon entsprechend konfiguriert. Eigenartigerweise können die Clients aber immernoch untereinander kommunizieren.
Wir haben folgende Beispieleinstellungen:
VLAN 11:
Ports 5-10:
Administrative PVID => 11
Interface VLAN-Mode => Access
Frame Type => Admit All
Ingress-Filtering => Enabled
Membership-Type => Untagged
VLAN 22:
Ports 11-15:
Administrative PVID => 22
Interface VLAN-Mode => Access
Frame Type => Admit All
Ingress-Filtering => Enabled
Membership-Type => Untagged
1. Kann es sein, dass die Administrative PVID wirklich "nur" für administrative Zwecke von Portgruppen verwendet wird und die VLANs noch gar nicht initiiert?
2. Ist es richtig, dass ich hier den Interface VLAN-Mode eher auf "General" wechseln sollte und jedem Port dann noch einmal eine Administrative PVID zuweise?
3. Wer "Tagged" dann letztlich eigentlich die Pakete? Die Client selbst, oder der Port, an dem der Client hängt? Erstere Variante wäre ja sicherlich besser, allerdings verwenden wir keine weiteren Layer-2/3 Switch (derzeit also 1 Client je Port) und ich bin mir auch nicht sicher, ob jeder Client von uns das VLAN Tagging unterstützt.
4. Ist es möglich mit einem herkömmlichen Layer-3-Switch das Inter-VLAN Routing auf einzlne Ports zu beschränken?
=> Falls nicht, macht es vielleicht sogar Sinn die Einstellungen so zu belassen und MAC-ACL zu verwenden?
Liebe Grüße,
niLuxx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 395926
Url: https://administrator.de/contentid/395926
Printed on: April 19, 2024 at 13:04 o'clock
9 Comments
Latest comment
Ports auf denen die Clients hängen würde ich Untagged lassen.
Sonst machst du dir einmal das Konstrukt unnötig kompliziert und zusätzlich, wie du schon selbst erkannt hast, können nicht alle Endgeräte VLAN.
PVID hat folgenden Zweck:
Nehmen wir mal an du hast einen Tagged Port, es kommt aber (z.B. durch falsche Konfiguration) ein Untagged Paket da an. Nun hat der Switch 2 Möglichkeiten. Er verwirft es oder er Tagged es. Getagged wird das Paket dann mit der PVID.
Kannst du also eigentlich immer auf der gleichen ID lassen wie dein VLAN.
Was hier an Infos noch fehlt ist was für VLAN Einstellungen dein Uplink zur Firewall hat.
In den meisten Fällen macht man das mit VLANs so, dass man die Ports zu den Clients Untagged lässt, wie du es auch schon gemacht hast und z.B. zur Firewall den Uplink Tagged macht, damit beide über ein einziges Kabel mit der Firewall kommunizieren können.
Sonst müsstest du für jedes VLAN das du hättest eine Kabelverbindung zum Router herstellen. Gleiches wäre dann der Fall wenn du mal auf einen zweiten Switch erweitern möchtest. Die Switche kannst du dann ebenfalls getagged verbinden.
Grundlegend wenn die Netze trotz VLAN kommunizieren können ist entweder VLAN zwar eingerichtet, jedoch nicht aktiviert. Oder die 2 VLANs können einfach über die Firewall miteinander kommunizieren.
Sonst machst du dir einmal das Konstrukt unnötig kompliziert und zusätzlich, wie du schon selbst erkannt hast, können nicht alle Endgeräte VLAN.
PVID hat folgenden Zweck:
Nehmen wir mal an du hast einen Tagged Port, es kommt aber (z.B. durch falsche Konfiguration) ein Untagged Paket da an. Nun hat der Switch 2 Möglichkeiten. Er verwirft es oder er Tagged es. Getagged wird das Paket dann mit der PVID.
Kannst du also eigentlich immer auf der gleichen ID lassen wie dein VLAN.
Was hier an Infos noch fehlt ist was für VLAN Einstellungen dein Uplink zur Firewall hat.
In den meisten Fällen macht man das mit VLANs so, dass man die Ports zu den Clients Untagged lässt, wie du es auch schon gemacht hast und z.B. zur Firewall den Uplink Tagged macht, damit beide über ein einziges Kabel mit der Firewall kommunizieren können.
Sonst müsstest du für jedes VLAN das du hättest eine Kabelverbindung zum Router herstellen. Gleiches wäre dann der Fall wenn du mal auf einen zweiten Switch erweitern möchtest. Die Switche kannst du dann ebenfalls getagged verbinden.
Grundlegend wenn die Netze trotz VLAN kommunizieren können ist entweder VLAN zwar eingerichtet, jedoch nicht aktiviert. Oder die 2 VLANs können einfach über die Firewall miteinander kommunizieren.
Hi Bem,
Danke für die schnelle Antwort.
Zu deinen Fragen. Auf dem Switch befinden sich 7 Subnetze:
Netz 1 => Netz zwischen Switch und Firewall (mit Uplink zum Internet)
Netz 2-4 => Interne Netze ohne eigenen Uplink, aber Routing in Netz 1 fürs Internet
Netz 5 => DMZ-Netz mit direktem Firewall Uplink
Netz 6 => Jump-Host Netz mit direktem Firewall Uplink
Routing zwischen 2-4 sollte innerhalb vom Switch erfolgen
Routing zwischen 5/6 und den anderen Netzen jeweils über Firewall
Danke auch für deine Hinweise.
=> VLAN sollte aktiv sein => VLAN Interface steht auf enabled
=> Firewall übernimmt ziemlich sicher nicht das Routing, da ich bei einem Ping die Pakete nicht tracken kann
=> Ich schätze eher, dass die VLAN Security irgendwie ausgehebelt ist, durch eine falsche Einstellung. Als würde jeder Port Pakete mit anderen Tags annehmen, bzw. als senden sie sich alle untagged Pakete zu.
Ich hätte noch folgende Fragen:
1. Was genau muss ich einstellen, dass der Switch untagged Pakete nimmt und mit einem Tag versieht?
Danke für die schnelle Antwort.
Zu deinen Fragen. Auf dem Switch befinden sich 7 Subnetze:
Netz 1 => Netz zwischen Switch und Firewall (mit Uplink zum Internet)
Netz 2-4 => Interne Netze ohne eigenen Uplink, aber Routing in Netz 1 fürs Internet
Netz 5 => DMZ-Netz mit direktem Firewall Uplink
Netz 6 => Jump-Host Netz mit direktem Firewall Uplink
Routing zwischen 2-4 sollte innerhalb vom Switch erfolgen
Routing zwischen 5/6 und den anderen Netzen jeweils über Firewall
Danke auch für deine Hinweise.
=> VLAN sollte aktiv sein => VLAN Interface steht auf enabled
=> Firewall übernimmt ziemlich sicher nicht das Routing, da ich bei einem Ping die Pakete nicht tracken kann
=> Ich schätze eher, dass die VLAN Security irgendwie ausgehebelt ist, durch eine falsche Einstellung. Als würde jeder Port Pakete mit anderen Tags annehmen, bzw. als senden sie sich alle untagged Pakete zu.
Ich hätte noch folgende Fragen:
1. Was genau muss ich einstellen, dass der Switch untagged Pakete nimmt und mit einem Tag versieht?
Probier mal statt Ping nen Traceroute.
Dann solltest du ja sehen können ob das über die Firewall geht oder nicht.
Welche der 7 netze hängen denn an welchem VLAN?
Und läuft der Firewall Uplink Tagged? Also alles über 1 Kabel?
Zu der Frage:
Du hast z.B. einen Client der auf Port 5 hängt und Untagged VLAN 11 benutzt.
Der Uplink zum Router z.B. auf Port 16 ist Tagged für VLAN 11 und VLAN 22.
Sobald du z.B. von dem Client Daten losschickst die über den Router müssen wird dir der Switch automatisch beim Port 16 das Tag anhängen, damit die Firewall hinterher weiß, für welches VLAN die Daten sind.
Dann solltest du ja sehen können ob das über die Firewall geht oder nicht.
Welche der 7 netze hängen denn an welchem VLAN?
Und läuft der Firewall Uplink Tagged? Also alles über 1 Kabel?
Zu der Frage:
Du hast z.B. einen Client der auf Port 5 hängt und Untagged VLAN 11 benutzt.
Der Uplink zum Router z.B. auf Port 16 ist Tagged für VLAN 11 und VLAN 22.
Sobald du z.B. von dem Client Daten losschickst die über den Router müssen wird dir der Switch automatisch beim Port 16 das Tag anhängen, damit die Firewall hinterher weiß, für welches VLAN die Daten sind.
Hi,
Ich habe es auch noch einmal mit traceroute versucht. Die Pakete bleiben innerhalb des Switches.
Das tagging an sich sollte für mich jetzt soweit klar sein und schätze nun auch zu verstehen, weshalb die VLAN untereinander kommunizieren können.
1. Die einzelnen VLAN-Interface stehen auf Access. Hier kann ich weder eine PVID, noch eine Regel zur Annahme von Paketen oder deren Abweisung definieren. Ich schätze es wird einfach alles durchgewunken.
=> wahrscheinlich muss ich den Mode auf "General" stellen und dann je nachdem konfigurieren
Ich habe es auch noch einmal mit traceroute versucht. Die Pakete bleiben innerhalb des Switches.
Das tagging an sich sollte für mich jetzt soweit klar sein und schätze nun auch zu verstehen, weshalb die VLAN untereinander kommunizieren können.
1. Die einzelnen VLAN-Interface stehen auf Access. Hier kann ich weder eine PVID, noch eine Regel zur Annahme von Paketen oder deren Abweisung definieren. Ich schätze es wird einfach alles durchgewunken.
=> wahrscheinlich muss ich den Mode auf "General" stellen und dann je nachdem konfigurieren
Was ist dann eigentlich "Best-Practice" was das Thema VPN betrifft. Sollten die Pakete nach VPN-Einwahl dann direkt vom Switch, oder über die Firewall geroutet werden?
Liebe Grüße,
niLuxx
Liebe Grüße,
niLuxx
Zitat von @136423:
Hi,
Ich habe es auch noch einmal mit traceroute versucht. Die Pakete bleiben innerhalb des Switches.
Das tagging an sich sollte für mich jetzt soweit klar sein und schätze nun auch zu verstehen, weshalb die VLAN untereinander kommunizieren können.
1. Die einzelnen VLAN-Interface stehen auf Access. Hier kann ich weder eine PVID, noch eine Regel zur Annahme von Paketen oder deren Abweisung definieren. Ich schätze es wird einfach alles durchgewunken.
=> wahrscheinlich muss ich den Mode auf "General" stellen und dann je nachdem konfigurieren
Hi,
Ich habe es auch noch einmal mit traceroute versucht. Die Pakete bleiben innerhalb des Switches.
Das tagging an sich sollte für mich jetzt soweit klar sein und schätze nun auch zu verstehen, weshalb die VLAN untereinander kommunizieren können.
1. Die einzelnen VLAN-Interface stehen auf Access. Hier kann ich weder eine PVID, noch eine Regel zur Annahme von Paketen oder deren Abweisung definieren. Ich schätze es wird einfach alles durchgewunken.
=> wahrscheinlich muss ich den Mode auf "General" stellen und dann je nachdem konfigurieren
Wie man das ganze konfiguriert ist halt immer ein bisschen Abhängig vom Gerät (Hersteller) und der Firmware.
Aber wenn du das grundsätzlich verstanden hast kommst du ja dann denke ich da weiter.
Wenn alle 7 Subnetze getrennt sein sollten dann müsstest du quasi für alle jeweils ein eigenes VLAN untagged konfigurieren und dann halt auf dem Uplink für den Port alle VLANs Tagged hinzufügen.
Tagged benutzt man als nach best Practice meist nur wenn mehrere VLANs über eine Leitung gehen (z.B. auch bei Server Virtualisierung, das Blech wäre dann auch nur mit einem Kabel angeschlossen, die VMs sollen aber über verschiedene VLANs laufen).
Zitat von @136423:
Was ist dann eigentlich "Best-Practice" was das Thema VPN betrifft. Sollten die Pakete nach VPN-Einwahl dann direkt vom Switch, oder über die Firewall geroutet werden?
Was ist dann eigentlich "Best-Practice" was das Thema VPN betrifft. Sollten die Pakete nach VPN-Einwahl dann direkt vom Switch, oder über die Firewall geroutet werden?
Kommt ganz darauf an was man hier umsetzen möchte. Es gibt ja schon mal grundlegend Unterschiede wenn man z.B. ein Host to Host, Host to Site oder Site to Site wählt.
Bei ein Host to Host oder Host to Site VPN spannst du ja z.B. in deinem Netz direkt auf dem Client den Tunnel auf (z.B. mit einer Software). Wenn das aber Site to Site ist würdest du dein komplettes Netz in das VPN einbinden und nicht nur einen Host.
Typischerweise richtet man dann z.B. auf der Next-Generation Firewall das VPN ein und nicht auf einem Host.
Am besten machst du da wenn du Fragen hast einen neuen Beitrag auf.
Wir wollen die Subnetze nun zusätzlich noch in verschiedene VLANs bringen
Unverständlich, denn oben schreibst du doch das diese Subnetze schon segementiert am layer 3 Switch anliegen: (Zitat) "Alle unsere Subnetze hängen an dem Layer-3-Switch, sowohl die von dem Layer-3-Switch gerouteten Netze, als auch die, von der Firewall gerouteten Netze"Was denn nun ??
Verwirrung komplett...!!!
Vielleicht erklärst du diesen Wirrwarr mal mit einer kleinen Skizze hier, damit wir alles wissen worum es geht und EIN gemeinsames Bild haben von deinem angestrebten Design
Zu deinen Fragen:
1.)
Nein !
Die PVID bestimmt das VLAN in das alle untagged Pakete die an diesem Port ankommen, geforwardet werden.
Nicht mehr und nicht weniger !
2.)
Nein, nicht zwingend erforderlich. Und manchmal auch kontraproduktiv.
In der Regel reichen die Port Modi Access für Endgeräte Ports (Untagged) und Mode Trunk für Uplinks auf andere Switches oder z.B. Endgeräte die mehrere VLANs bedienen, wie Router, Firewall, Server etc.
3.)
Taggen tut immer der Switch. Aber auch Endgeräte wenn du dort wie unter 2.) schon gesagt ein Endgerät angeschlossen hast was auch mehrere VLANs supportet (Tagging). Alle Pakete die an diesem Port dann für die entsprechenden VLANs getaggt markieret sind werden von diesen Geräten getaggt übertragen bzw. empfangen.
Ist ja auch logisch, denn so können BEIDE Seiten diese Pakete wieder sicher ihren VLANs zu ordenen indem sie den VLAN Tag auslesen. Ganz simpel also...
Bitte lese dir hier die VLAN Schnellschulung durch die das nochmals explizit erklärt !
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Damit sollte das dann zu 99% klar sein !?!
4.)
Ja natürlich !
Dazu gibt es 2 Optionen:
- 1.) VLAN konfigurieren OHNE eine IP Adresse im VLAN !
- 2.) Mit IP: Dann Access Liste am Switch VLAN L3 Interface nutzen.
Wenn du also z.B. wie bei dir eins oder mehrere der VLANs am Switch ausschliesslich über die Firewall routen willst, dann konfigurierst du KEINE IP Adresse am L3 Switch in diesme VLAN.
Dadurch ist das VLAN dann L3 seitig vollkommen isoliert am Switch. Endgeräte kämen dann nur noch über die Firewall raus sofern die ein Bein in diesem VLAN hat.
2te Option dann die ACL. Birgt aber immer die Gefahr das man dort Fehler macht und eine ungewollte Backdoor Route hat die ggf. die Firewall aushebelt.
IP Adresse einfach weglassen ist also immer die beste da sicherste Lösung.
Auf solche simplen Allerwelts Basics in so einem VLAN Design kommt man aber eigentlich auch selber mit dem gesunden Netzwerker Verstand !
Danke für eure Nachrichten 
Klappt es denn nun wenigstens und können wir diesen Case schliessen ??
