Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN Struktur - Switches in welches VLAN

Mitglied: ITF02

ITF02 (Level 1) - Jetzt verbinden

10.10.2017, aktualisiert 12:49 Uhr, 2032 Aufrufe, 4 Kommentare

Hallo zusammen,

ich benötige ein paar Tipps und Anregungen bzlg. der VLAN Struktur. Ich habe folgende Struktur, welche auch grundsätzlich funktioniert.

VLAN 10 Verwaltung
VLAN 20 Lager
VLAN 30 WLAN
VLAN 31 WLAN (1)

Produkte: HP 1810-24G / Netgear M5300 als LWL-Switch

In jedem VLAN gibt es einen Server und mehrere Clients.

Zur Zeit sind die einzelnen Switches aus unterschiedlichen VLAN erreichbar, z.B. ist der Switch im Lager auch nur aus dem VLAN Lager erreichbar und der aus der in der Verwaltung aus VLAN Verwaltung. Dies wird aber langsam unübersichtlich und ist mit Sicherheit auch nicht die "optimale" Lösung.


Wie ist die empfohlene Konfiguration für Switches?

Extra VLAN nur für Switches?
Switches in VLAN 0? [ Edit: Natürlich VLAN 1 ]
Wie sollen die Switches erreichbar sein? / Wie sind sie erreichbar?
Kann ich alles Switches von einer zentralen Stelle erreichen?
Kann ich alle Switches aus allen VLAN erreichen?
Was macht Sinn und was nicht?

Vielen Dank vorab.

Mitglied: aqui
10.10.2017, aktualisiert um 12:00 Uhr
ist der Switch im Lager auch nur aus dem VLAN Lager erreichbar
Sowas ist natürlich gruselig und zeugt von sehr schlechtem VLAN Design.
Alle Komponenten gehören mit ihrer Management IP in ein separates Management VLAN !
VLAN 0 ist natürlich Blödsinn, denn das ist gar nicht definert. Sollte man eigentlich wissen als Netzwerker.
Da bei so gut wie allen Switches das Management VLAN per Default immer in VLAN 1 liegt kann man es da auch belassen. Man darf dann allerdings das VLAN 1 NICHT für ein produktives Netzsegment nutzen...klar !
Bei dir ist das wie man sieht auch nicht der Fall. Würde also so gehen.
Alternativ kann man auch ein dediziertes VLAN dafür definieren, muss dann aber in der Konfig bei allen Komponenten die Management IP in dieses VLAN legen.
Hier mal am Beispiel eines Websmart Switches:
mgmtint - Klicke auf das Bild, um es zu vergrößern

Entscheidend für die Erreichbarkeit und die Management Sicherheit aller Komponenten im Netz ist aber immer dein Layer 3 (Routing) Device was zwischen den VLANs routet !!
Ohne das dort eine entsprechende Accessliste definiert ist die den Zugang ins Management VLAN regelt kann natürlich jeder aus jedem VLAN alle Management IPs erreichen.
Auf diese Accesslisten oder Zugangsregeln im VLAN Router kommt es also an !!
Genau das hat wohl derjenige der das Netzwerk bei dir designed hat vollkommen vergessen oder war damit überfordert. Fatal, denn so kann jeder mit Leichtigkeit die Infrastrukturkomponenten sabotieren.
Kann ich alles Switches von einer zentralen Stelle erreichen?
Ja, aber ist dir Frage ob das gewollt ist.
Du bist ja mit deinem Arbeitsplatz Rechner in einem der VLANs oder 2 wenn man das WLAN ggf. mal mit dazu nimmst.
Über DHCP Nailing solltest du deinem rechner also abhängig von der Mac immer eine feste IP zuteilen und die Accessliste so einstellen das diese IP aus den beiden VLANs immer Zugriff auf das Management VLAN hat.
Entsprechend für den oder die Kollegen die dich vertreten.
Ein ggf. vorhandenes Netzwerk Management gehört somit auch direkt ins Management VLAN.
Kann ich alle Switches aus allen VLAN erreichen?
Theoretisch ja wenn man keine Accesslisten im Router definiert, der zwischen den VLANs routet !
Genau das will man aber logischerweise NICHT. Mit den Regeln lässt man nur die Rechner oder Netzwerke zu von denen man will das die ins Management VLAN sollen.
Was macht Sinn und was nicht?
Siehe obiger Thread !
Bitte warten ..
Mitglied: maretz
10.10.2017 um 12:55 Uhr
Moin,

was Sinn macht und was nicht hängt von deinem Betrieb ab... Bist du in nem 5-Personen-Betrieb und Familienunternehmen in dem eh jeder Admin-Rechte hat ist das vermutlich etwas anderes als wenn du in nem Grosskonzern mit 100.000+ Mitarbeitern arbeitest...

Ich würde z.B. die Switches immer (wie auch die Router und andere Netzwerkgeräte) in nen Management-VLAN legen welches sich aus dem Admin-VLAN auch erreichen lässt. Du kannst auch ein Server-VLAN generieren in dem alle Server, Drucker usw. ebenfalls sich rumtummeln - auch das wäre nicht "falsch", sondern je nach Betrieb ggf. Sinnvoll...

Ich würde die jedoch nicht in ein VLAN abhängig vom Standort packen -> über die Beschreibung (kann in jedem Switch als Location eingetragen werden) weiss ich ja schon wo das Gerät steht (oder über den Gerätenamen, wenn ich das da einbauen möchte). Z.B. könnte man halt SW01L01, SW02L01 usw. machen -> Switch 1, Lager 1,....

Aber wie gesagt - was Sinn macht hängt stark von deinem Umfeld ab - das kann von "hau alles in ein Netz rein, haben eh alle Admin-Rechte überall" bis hin zu "via Mac-Auth wird entschieden ob du überhaupt ins Admin-Netz darfst - und dann noch via ACL& User-Accounts auf welche Switches du jetzt zugriff hast".
Bitte warten ..
Mitglied: 108012
10.10.2017 um 14:10 Uhr
Hallo,

ich benötige ein paar Tipps und Anregungen bzlg. der VLAN Struktur. Ich habe folgende Struktur, welche auch
grundsätzlich funktioniert.
Können wir dazu mal mehr erfahren? Wie verwaltest Du denn die Switche nun? Per Software wie Netgear NMS 300
oder via SSH mit Schlüssel oder User Account im Switch? Mittels Management VLAN (VLAN1) oder wie?

VLAN 10 Verwaltung
VLAN 20 Lager
VLAN 30 WLAN
VLAN 31 WLAN (1)
Und wer routet dazwischen? Ich meine zwischen den VLANs? Der Router, ein Layer3 Switch oder eine Firewall?

Produkte: HP 1810-24G / Netgear M5300 als LWL-Switch
Wie viele davon denn nun genau? Gestapelt oder nicht?

In jedem VLAN gibt es einen Server und mehrere Clients.
Ok

Zur Zeit sind die einzelnen Switches aus unterschiedlichen VLAN erreichbar, z.B. ist der Switch im Lager auch
nur aus dem VLAN Lager erreichbar und der aus der in der Verwaltung aus VLAN Verwaltung. Dies wird aber
langsam unübersichtlich und ist mit Sicherheit auch nicht die "optimale" Lösung.
Sicherheit ist immer ein mehrstufiges Konzept und nicht eine Idee alleine!
- Alle VLANs neu anlegen
- Mittels ACLs regeln wer was von wo nach wo darf
- Mittels User Account (Admin) regeln von wo der Admin etwas darf
- Mittels MAC und IP Adresse regeln von wo aus der Admin etwas darf
- Mittels SSH (Putty) (Schlüssel) den Zugang zu den Switchen absichern!
- Am besten wäre das management VLAN1 zu benutzen um von dort aus dann alles zu erledigen.

Wie ist die empfohlene Konfiguration für Switches?
Stapeln und zentral von einem Ort aus verwalten!

Extra VLAN nur für Switches?
Normalerweise setzt man über alle VLANs noch ein extra VLAN "drüber" so dass das VLAN1 abgetrennt von
allen anderen ist und das ist dann Dein VLAN zum Verwalten!

Wie sollen die Switches erreichbar sein? / Wie sind sie erreichbar?
Web, CLI oder Management Software.

Kann ich alles Switches von einer zentralen Stelle erreichen?
Von Deinem Admin PC, WS oder Server aus wäre natürlich das beste, denke ich mal.

Gruß
Dobby
Bitte warten ..
Mitglied: rzlbrnft
06.05.2019, aktualisiert um 16:39 Uhr
Zitat von aqui:
Entscheidend für die Erreichbarkeit und die Management Sicherheit aller Komponenten im Netz ist aber immer dein Layer 3 (Routing) Device was zwischen den VLANs routet !!
Ohne das dort eine entsprechende Accessliste definiert ist die den Zugang ins Management VLAN regelt kann natürlich jeder aus jedem VLAN alle Management IPs erreichen.
Auf diese Accesslisten oder Zugangsregeln im VLAN Router kommt es also an !!
Genau das hat wohl derjenige der das Netzwerk bei dir designed hat vollkommen vergessen oder war damit überfordert. Fatal, denn so kann jeder mit Leichtigkeit die Infrastrukturkomponenten sabotieren.

Mag alles stimmen, aber ich gehe mal davon aus, das die internen Mitarbeiter an der Sabotage der Switches kein Interesse haben.
Insofern sind bei uns die Management IPs auch da wo ich sie ohne Router erreichen kann und die Access Control soweit konfiguriert, das nur von Servern und IT PCs aus drauf zugegriffen werden kann.
Hat den einfachen Grund, das ich sonst bei einem Broadcast Sturm oder Router Ausfall aus welchem Grund auch immer gar nicht mehr drauf komme um festzustellen wo das Problem liegt.
Port umstellen tut hier auch der Azubi, damit er was lernt, insofern lässt sich das nicht zu 100% vermeiden.
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Switch VLAN einrichten
gelöst Frage von TastuserSwitche und Hubs8 Kommentare

Hallo, ich habe einen Switch mit VLAn-Funktion, verstehe jedoch nicht ganz wie das funktioniert. Folgende Punkte sind vorhanden: - ...

Switche und Hubs
Switch mit Switch verbinden (VLAN)
gelöst Frage von NurWeilEsGehtSwitche und Hubs5 Kommentare

Halloooo, ich habe mal eine Frage zu meinem „neuen“ Switch von Netgear. Vorher habe ich einen 8-Port Switch von ...

LAN, WAN, Wireless
Hilfe bei VLAN Struktur für EFH
Frage von Maik20LAN, WAN, Wireless6 Kommentare

Hallo zusammen, wir haben ein Einfamilienhaus gekauft und renoviert. In dem Zusammenhang habe ich auch die Elektrikleitungen neu verlegt ...

LAN, WAN, Wireless
HP Switch VLAN Konfiguration
Frage von staybbLAN, WAN, Wireless12 Kommentare

Hallo, ich möchte eine bereits bestehende Netzwerkstruktur mit VLANs erweitern. Und zwar ist folgendes Szenario vorhanden: HP Layer 2 ...

Neue Wissensbeiträge
Datenschutz
TeamViewer gehackt !
Information von aqui vor 15 MinutenDatenschutz1 Kommentar

Hat schon einen Grund warum verantwortungsvolle Admins diese Software nicht einsetzen und sie in den meisten größeren Firmen aus ...

Netzwerke

Cisco Security Warnung für SoHo Switches der SG Serie

Information von aqui vor 1 TagNetzwerke3 Kommentare

Update auf eine aktuelle Version wäre also eine gute Idee ! ;-)

Sicherheit

Der TeamViewer-Entwickler war 2016 Opfer eines Cyber-Angriffs

Information von kgborn vor 1 TagSicherheit1 Kommentar

Ich denke, nur wenige dürften die kleine Firma TeamViewer aus Göppingen kennen - und einsetzen wird die Produkte von ...

Internet
Google sperrt Anzeigen kleiner IT-Dienstleister
Erfahrungsbericht von the-buccaneer vor 2 TagenInternet10 Kommentare

Falscher Film? In nem Roman von Kafka gelandet? Mitnichten. Orwell lässt grüßen. Heute sperrte Google meine über AdWords geschaltete ...

Heiß diskutierte Inhalte
Router & Routing
Reverse Proxy - Anfängerfragen
Frage von NixVerstehenRouter & Routing13 Kommentare

Servus zusammen, endlich Freitag und ich darf wieder meine Anfängerfragen stellen :-) Ich bereite gerade einen Testaufbau für ein ...

Internet
Google sperrt Anzeigen kleiner IT-Dienstleister
Erfahrungsbericht von the-buccaneerInternet10 Kommentare

Falscher Film? In nem Roman von Kafka gelandet? Mitnichten. Orwell lässt grüßen. Heute sperrte Google meine über AdWords geschaltete ...

Grafikkarten & Monitore
4 Bildschirminhalte auf einem Monitor abbilden
Frage von KuemmelGrafikkarten & Monitore7 Kommentare

Moin Kollegen, ich bin auf der Suche nach einer Monitorlösung. Ich habe 4 Industrie PCs die ich gerne per ...

Windows Server
W10 - RDP : was ist die einfachste, kleinste und kostengünstigste Lösung für 3 User gleichzeitig
Frage von mabiesWindows Server7 Kommentare

Hallo, es gibt intern genutzte Software, die man alle Jahre mal braucht. Dann mal der, mal der andere. Die ...