11
Vlan Konzept für Firma bzw. Umstellung
Hallo Liebe Leute 
bei meinem neuen Arbeitgeber soll ich mich um das Netzwerk kümmern.
Aktuell gibt es kein VLAN in der Firma. Jetzt hab ich die Aufgabe bekommen mir Gedanken zu machen wie ich bzw. wir das Netz Komplett unterteilen können. Ausgangspunkt ist das Netz 10.0.5.0/23.
Das sollte wenn möglich nicht geändert werden dort hängt wohl die FW usw.
Frage:
Kann man das Schritt für Schritt machen? Sprich VLAN 1 ist ja das Default VLAN bzw. Natives . Das alles was jetzt im Netzwerk ist da drauf hört und z.b. Vlan 100 für die EDV das Any Any Netz wird? Und dann pö a pö die neuen Vlans stück für stück einfügen?
Hardware :
Sophos FW sowie AP
Netgear Switche M4300 Reihe.
LG Nico
bei meinem neuen Arbeitgeber soll ich mich um das Netzwerk kümmern.
Aktuell gibt es kein VLAN in der Firma. Jetzt hab ich die Aufgabe bekommen mir Gedanken zu machen wie ich bzw. wir das Netz Komplett unterteilen können. Ausgangspunkt ist das Netz 10.0.5.0/23.
Das sollte wenn möglich nicht geändert werden dort hängt wohl die FW usw.
Frage:
Kann man das Schritt für Schritt machen? Sprich VLAN 1 ist ja das Default VLAN bzw. Natives . Das alles was jetzt im Netzwerk ist da drauf hört und z.b. Vlan 100 für die EDV das Any Any Netz wird? Und dann pö a pö die neuen Vlans stück für stück einfügen?
Hardware :
Sophos FW sowie AP
Netgear Switche M4300 Reihe.
LG Nico
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 52167746294
Url: https://administrator.de/contentid/52167746294
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
das ist schon eine größere Aufgabe. Warum muss das /23 Netz bleiben? Ist aktuell die Firewall der Default GW für das ganze Netzwerk? Wenn ja, das kann ein ziemlicher Flaschenhals werden, wenn da tatsächlich viel mehr Server/Clients vorhanden als in ein /24 Netz passen.
Stückweise kann man anfangen aber lass das VLAN1 leer, das ist ein Default VLAN, dass jeder Switch nutzt, um überhaupt ohne Konfiguration nutzbar zu sein. Die M4300 sind L3 Switche, daher können sie auch das Routing übernehmen, so dass die Firewall am Ende nur den Weg zum WAN und WLAN bereitstellt.
das ist schon eine größere Aufgabe. Warum muss das /23 Netz bleiben? Ist aktuell die Firewall der Default GW für das ganze Netzwerk? Wenn ja, das kann ein ziemlicher Flaschenhals werden, wenn da tatsächlich viel mehr Server/Clients vorhanden als in ein /24 Netz passen.
Stückweise kann man anfangen aber lass das VLAN1 leer, das ist ein Default VLAN, dass jeder Switch nutzt, um überhaupt ohne Konfiguration nutzbar zu sein. Die M4300 sind L3 Switche, daher können sie auch das Routing übernehmen, so dass die Firewall am Ende nur den Weg zum WAN und WLAN bereitstellt.
1
Weil dort akutell alles drin liegt . Das soll dann stück für stück alles in Vlans aufgeteilt werden sprich alle Citrix Clients in ein , Terminal in eins ,IP Telefone usw alles getrennt ist. Die netze werden dann wohl alle /24
Mahlzeit.
+1 für @DerMaddin 's Ausführungen.
Wenn mehrere VLANs eingerichtet werden sollten, muss man aber im Vorfeld Überlegungen anstrengen, wie die Regelwerke aussehen sollten.
Ein Layer3 Switch lässt nicht so granulare Regeln / ACL zu, wie es "echte" Firewalls, wie die eingesetzte Sophos, können.
Gruß
Marc
+1 für @DerMaddin 's Ausführungen.
Wenn mehrere VLANs eingerichtet werden sollten, muss man aber im Vorfeld Überlegungen anstrengen, wie die Regelwerke aussehen sollten.
Ein Layer3 Switch lässt nicht so granulare Regeln / ACL zu, wie es "echte" Firewalls, wie die eingesetzte Sophos, können.
Gruß
Marc
Moin,
Lege nach belieben VLANs an, vielleicht innerhalb von 10.1.0.0/16, dann kannst du alles, was das 10.0.5.0/23 betrifft leicht separieren.
Und dann als Beispiel:
10.1.10.0/24 - VLAN 10 Infrastruktur
10.1.11.0/24 - VLAN 11 Drucker
10.1.21.0/24 - VLAN 21 Clients
10.1.22.0/24 - VLAN 22 Clients WLAN
10.1.31.0/28 - VLAN 31 Server AD
...
+1 für @DerMaddin 's Ausführungen.
+1Lege nach belieben VLANs an, vielleicht innerhalb von 10.1.0.0/16, dann kannst du alles, was das 10.0.5.0/23 betrifft leicht separieren.
Und dann als Beispiel:
10.1.10.0/24 - VLAN 10 Infrastruktur
10.1.11.0/24 - VLAN 11 Drucker
10.1.21.0/24 - VLAN 21 Clients
10.1.22.0/24 - VLAN 22 Clients WLAN
10.1.31.0/28 - VLAN 31 Server AD
...
Der Hinweis von @radiogugu ist nicht unwichtig. ACL auf Switchen können viel aber auch viel Schaden einrichten und ohne Vorkenntnisse kann man sich auch schnell aussperren, dann hilft nur noch die Konsole.
Ich habe bei uns ein vorhandenes VLAN1 Netz, dass nur aus lauter L2-Switchen bestand in L2/L3 Netzwrk umgebaut. Die "Mitte" bilden vier M4300 Switche, die räumlich getrennt sind aber als Stack wie eine Einheit arbeiten und so doppelt redundant sind. An die M4300 sind alle Server, SAN und Access L2 Switche mit einem LACP-Trunk angeschlossen. Auf den L2-Switchen ist DHCP Relay eingerichtet, so dass bei entsprechender PVID der Client nach der passenden DHCP IP-Adresse schreit.
Die meisten VLANs bei uns haben keine Restriktionen, nur zwei sind über die Firewall geroutet, da andere Netze darauf nicht zugreifen dürfen. ACL verwenden wir nicht.
Ich habe bei uns ein vorhandenes VLAN1 Netz, dass nur aus lauter L2-Switchen bestand in L2/L3 Netzwrk umgebaut. Die "Mitte" bilden vier M4300 Switche, die räumlich getrennt sind aber als Stack wie eine Einheit arbeiten und so doppelt redundant sind. An die M4300 sind alle Server, SAN und Access L2 Switche mit einem LACP-Trunk angeschlossen. Auf den L2-Switchen ist DHCP Relay eingerichtet, so dass bei entsprechender PVID der Client nach der passenden DHCP IP-Adresse schreit.
Die meisten VLANs bei uns haben keine Restriktionen, nur zwei sind über die Firewall geroutet, da andere Netze darauf nicht zugreifen dürfen. ACL verwenden wir nicht.
1
Moin,
Aha.
Das Netz gibt es nicht. Es ist wohl eher 10.0.4.0/23. Zumindest liegt die IP 10.0.5.0 in diesem Netz.
Bevor Du irgendwas an dem Netz machst, solltest Du genau wissen, wie der Bestand ist. "Dort hängt wohl ..." ist kein guter Ausgangspunkt, um eine Umstrukturierung des Netzes zu planen.
Ja, das ist üblich.
Wie meinst Du das?
peu à peu
Liebe Grüße
Erik
Aha.
Aktuell gibt es kein VLAN in der Firma. Jetzt hab ich die Aufgabe bekommen mir Gedanken zu machen wie ich bzw. wir das Netz Komplett unterteilen können. Ausgangspunkt ist das Netz 10.0.5.0/23.
Das Netz gibt es nicht. Es ist wohl eher 10.0.4.0/23. Zumindest liegt die IP 10.0.5.0 in diesem Netz.
Das sollte wenn möglich nicht geändert werden dort hängt wohl die FW usw.
Bevor Du irgendwas an dem Netz machst, solltest Du genau wissen, wie der Bestand ist. "Dort hängt wohl ..." ist kein guter Ausgangspunkt, um eine Umstrukturierung des Netzes zu planen.
Kann man das Schritt für Schritt machen?
Ja, das ist üblich.
Vlan 100 für die EDV das Any Any Netz wird?
Wie meinst Du das?
Und dann pö a pö die neuen Vlans stück für stück einfügen?
peu à peu
Liebe Grüße
Erik
Kann mir vllt jemand vllt ein Bild zeigen wie es in einer Firma aufgebaut ist ?
Wenn ich das so Bau:
als Beispiel:
10.1.10.0/24 - VLAN 10 Infrastruktur
10.1.12.0/24 - VLAN 12 Management
10.1.11.0/24 - VLAN 11 Drucker
10.1.21.0/24 - VLAN 21 Clients
10.1.22.0/24 - VLAN 22 Clients WLAN
10.1.31.0/28 - VLAN 31 Server AD
Wie würde das technisch aussehen z.b. Thema Switche ich würde denen eine feste IP aus dem VLAN 10 geben aber das Management soll im VLAN 12 sein .
Wie sieht das dann bei den Ports mit Tagged und Untagged aus ?
Verbindung von der FW zum Switch immer Trunk und Endgeräte Ports immer Untagged das weis ich.
VLAN 1 soll es bei uns garnicht geben wurde mir gesagt . Geht das überhaupt? Oder ist das zwingend notwendig ?
Wenn ich das so Bau:
als Beispiel:
10.1.10.0/24 - VLAN 10 Infrastruktur
10.1.12.0/24 - VLAN 12 Management
10.1.11.0/24 - VLAN 11 Drucker
10.1.21.0/24 - VLAN 21 Clients
10.1.22.0/24 - VLAN 22 Clients WLAN
10.1.31.0/28 - VLAN 31 Server AD
Wie würde das technisch aussehen z.b. Thema Switche ich würde denen eine feste IP aus dem VLAN 10 geben aber das Management soll im VLAN 12 sein .
Wie sieht das dann bei den Ports mit Tagged und Untagged aus ?
Verbindung von der FW zum Switch immer Trunk und Endgeräte Ports immer Untagged das weis ich.
VLAN 1 soll es bei uns garnicht geben wurde mir gesagt . Geht das überhaupt? Oder ist das zwingend notwendig ?
Pauschal ein "Bild" für ein VLAN Netzwerk zu zeichnen, ist nicht möglich. Dies ist stark davon abhängig, was man für Netzwerkgeräte verwendet und wie diese miteinander verbunden werden und die Kommunikation untereinander erfolgt.
Bei uns bilden vier L3-Switche den Kern des Netzwerks. Je zwei davon sind in je einem Gebäude/Serverraum untergebracht. Alle vier Switche sind als ein Stack (eine logische Einheit) konfiguriert und zweifach redundant, d.h. je Gebäude kann jeweils ein Switch ausfallen ohne den Betrieb zu stören.
An die Core-Switche sind alle Server und das SAN mit je zwei 10GB bzw. 4x 10GB (SAN) angebunden. Die Access-Switche (L2) sind in jedem Gebäude je an einen der zwei L3-Switche angeschlossen. Auf den L2-Switchen ist DHCP-Relay für VLANs mit DHCP eingerichtet, die auf einen unserer DC umleiten. Die Core-Switche sind für alle VLANs Default GW, so dass der interne Traffic die Firewall nicht belastet.
Access Points sind an die L2-Switche angeschlossen und verwenden ein Management-VLAN für die Zuordnung und Übertragung aller SSID von der Firewall. Die Firewall ist mit dem Core-Switch verbunden über LACP und kennt alle VLANs. An die Firewall sind zwei ISP-Glasfaser CEPs angeschlossen für Internet, Gäste-Wifi und S2S-VPN.
VLAN1 wird es immer geben auf jedem 802.1q fähigen Switch und ist immer untagged. Dieses VLAN kann man nicht entfernen und dienst meist als Management VLAN aber auch dazu, dass "untagged" Pakete, die an ein "tagged" Port gehen, zu diesem VLAN zugeordnet werden.
Bei uns bilden vier L3-Switche den Kern des Netzwerks. Je zwei davon sind in je einem Gebäude/Serverraum untergebracht. Alle vier Switche sind als ein Stack (eine logische Einheit) konfiguriert und zweifach redundant, d.h. je Gebäude kann jeweils ein Switch ausfallen ohne den Betrieb zu stören.
An die Core-Switche sind alle Server und das SAN mit je zwei 10GB bzw. 4x 10GB (SAN) angebunden. Die Access-Switche (L2) sind in jedem Gebäude je an einen der zwei L3-Switche angeschlossen. Auf den L2-Switchen ist DHCP-Relay für VLANs mit DHCP eingerichtet, die auf einen unserer DC umleiten. Die Core-Switche sind für alle VLANs Default GW, so dass der interne Traffic die Firewall nicht belastet.
Access Points sind an die L2-Switche angeschlossen und verwenden ein Management-VLAN für die Zuordnung und Übertragung aller SSID von der Firewall. Die Firewall ist mit dem Core-Switch verbunden über LACP und kennt alle VLANs. An die Firewall sind zwei ISP-Glasfaser CEPs angeschlossen für Internet, Gäste-Wifi und S2S-VPN.
VLAN1 wird es immer geben auf jedem 802.1q fähigen Switch und ist immer untagged. Dieses VLAN kann man nicht entfernen und dienst meist als Management VLAN aber auch dazu, dass "untagged" Pakete, die an ein "tagged" Port gehen, zu diesem VLAN zugeordnet werden.
1
Also die Konstellation Sophos, Core Switche zwei Standorte usw ist genau das gleiche wie bei uns . Die Sophos läuft als HA die M3000 als Stack sowie redundant. Kannst du mir vllt mal ein Bild zeigen wie du das mit den Interfacen gelöst hast in deiner Sophos ?
In der Sophos legt die selber sich das VLAN 1 an ? Das kann man ja nicht verwalten oder eine Ip geben oder so ?
In der Sophos legt die selber sich das VLAN 1 an ? Das kann man ja nicht verwalten oder eine Ip geben oder so ?
Also erstmal 10.0.5.0/23 kann nicht sein, bei einer 23er Maske würde das Netz 10.0.4.0/23 lauten. (0-1;2-3;4-5 usw.)
Mit einem /23 Subnetz kannst du maximal 510 Hosts adressieren.
Bei einer Neuorganisation sollte man die Netze nicht über 70 Prozent "befüllen"
Aus Security Gründen gehören die Hosts in verschiedene Subnetze und in seperaten Layer2 Instanzen (vlans)
Also z.B.
Vlan 10 10.0.4.0/26 GW 10.0.4.1 clients
Vlan 20. 10.0.4.64/26 GW 10.0.4.65 wlan-clients
Vlan 30. 10.0.4.128/26 GW 10.0.4.129 Server
Vlan 40. 10.0.4.192/26 GW 10.0.4.193 iot-clients
Vlan 50. 10.0.5.0/26 GW 10.0.5.1 VoIP
Vlan 60. 10.0.5.64/26 GW 10.0.5.65 Guest-Wlan
Vlan 70. 10.0.5.128/27 GW 10.0.5.129 Drucker
Vlan 80. 10.0.5.160/27 GW 10.0.5.161 DMZ
Vlan 90. 10.0.5.192/27 GW 10.0.5.193 iSCSI
Vlan xx du hast noch 10.0.5.224/27 übrig
Welches du natürlich weiter subnetten kannst /28 oder /29 so kleine Subnetze werden aber meist nur als eine Transport Netze verwendet.
Also ein /26 lässt dir 62 Hosts zu
/27 30 Hosts
/28 14 Hosts
/29 6 Hosts
Nur so ein Vorschlag
Gruß Lucky
Mit einem /23 Subnetz kannst du maximal 510 Hosts adressieren.
Bei einer Neuorganisation sollte man die Netze nicht über 70 Prozent "befüllen"
Aus Security Gründen gehören die Hosts in verschiedene Subnetze und in seperaten Layer2 Instanzen (vlans)
Also z.B.
Vlan 10 10.0.4.0/26 GW 10.0.4.1 clients
Vlan 20. 10.0.4.64/26 GW 10.0.4.65 wlan-clients
Vlan 30. 10.0.4.128/26 GW 10.0.4.129 Server
Vlan 40. 10.0.4.192/26 GW 10.0.4.193 iot-clients
Vlan 50. 10.0.5.0/26 GW 10.0.5.1 VoIP
Vlan 60. 10.0.5.64/26 GW 10.0.5.65 Guest-Wlan
Vlan 70. 10.0.5.128/27 GW 10.0.5.129 Drucker
Vlan 80. 10.0.5.160/27 GW 10.0.5.161 DMZ
Vlan 90. 10.0.5.192/27 GW 10.0.5.193 iSCSI
Vlan xx du hast noch 10.0.5.224/27 übrig
Welches du natürlich weiter subnetten kannst /28 oder /29 so kleine Subnetze werden aber meist nur als eine Transport Netze verwendet.
Also ein /26 lässt dir 62 Hosts zu
/27 30 Hosts
/28 14 Hosts
/29 6 Hosts
Nur so ein Vorschlag
Gruß Lucky
1
Kann mir vllt jemand vllt ein Bild zeigen wie es in einer Firma aufgebaut ist ?
Die Suchfunktion ist wie immer dein Freund! 😉VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
L3 VLAN Switching
