VLANS Grundsätzliches
Hallo zusammen,
ich beschäftige mich derzeit intensiver mkt Netzwerken. Aktuell hänge ich etwas beim Thema VLANS.
VLANS sind logische Netzwerke und können per Port oder Token definiert werden.
Heißt für mich:
Beim einem 24 Switch sind zB Port 1-5 VLAN 1 (zb Drucker), 6-9 VLAN 2 (Server), 10-20 VLAN 3 (Clients) und 21-24 VLAN 4 (WLAN-Geräte).
Die IP-Adressen bleiben gleich, oder haben die verschiedenen Segmente unterschiedliche Adressbereiche?
Alternativ haben die Geräte zB 192.168.7.1-1 - 192.168.7.5-1 (VL1), 192.168.7.6-2 (VL2) - 192.168.7.9-2 (VL2), usw.
Soweit Korrekt?
Wie bekomme ich dann die Kommunikation hin? Passiert das dann im Switch? Oder mache ich es in der Firewall? ES muss ja zB die kommunikation Client (VLAN 3) ins VLAN 2 (Server) gesichert sein.
mfG
tsunami
ich beschäftige mich derzeit intensiver mkt Netzwerken. Aktuell hänge ich etwas beim Thema VLANS.
VLANS sind logische Netzwerke und können per Port oder Token definiert werden.
Heißt für mich:
Beim einem 24 Switch sind zB Port 1-5 VLAN 1 (zb Drucker), 6-9 VLAN 2 (Server), 10-20 VLAN 3 (Clients) und 21-24 VLAN 4 (WLAN-Geräte).
Die IP-Adressen bleiben gleich, oder haben die verschiedenen Segmente unterschiedliche Adressbereiche?
Alternativ haben die Geräte zB 192.168.7.1-1 - 192.168.7.5-1 (VL1), 192.168.7.6-2 (VL2) - 192.168.7.9-2 (VL2), usw.
Soweit Korrekt?
Wie bekomme ich dann die Kommunikation hin? Passiert das dann im Switch? Oder mache ich es in der Firewall? ES muss ja zB die kommunikation Client (VLAN 3) ins VLAN 2 (Server) gesichert sein.
mfG
tsunami
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1186899739
Url: https://administrator.de/forum/vlans-grundsaetzliches-1186899739.html
Ausgedruckt am: 26.12.2024 um 01:12 Uhr
20 Kommentare
Neuester Kommentar
Zitat von @tsunami:
Hm,
bislang hatte ich mit VLANS nichts zu tun. Bei 50 Geräten lohnt es nicht. Gibt es irgendwo eine Anleitung?
Hatte was bei Wikipedia gefunden, da gings um die Theorie. Bei Ionos nur grundsätzlich was ein VLAN für Laien. ist. Bei Ip Inside nur drumherum.
Das heißt ich bräuchte bei zB 4 VLANS 4 DHCP Server? Macht das der Switch? Aktuell habe ich eine Test Firewall, die verteilt die IPs statisch per Mac.
Oder kann ich da auch sagen:
Mac 1: 23 02 32 3e -> 192.168.7.1
Mac 1: 23 02 32 4e -> 192.168.7.2
Mac 1: 23 02 32 5e -> 192.168.8.1
Mac 1: 23 02 12 5d -> 192.168.8.2
...
Hm,
bislang hatte ich mit VLANS nichts zu tun. Bei 50 Geräten lohnt es nicht. Gibt es irgendwo eine Anleitung?
Hatte was bei Wikipedia gefunden, da gings um die Theorie. Bei Ionos nur grundsätzlich was ein VLAN für Laien. ist. Bei Ip Inside nur drumherum.
Das heißt ich bräuchte bei zB 4 VLANS 4 DHCP Server? Macht das der Switch? Aktuell habe ich eine Test Firewall, die verteilt die IPs statisch per Mac.
Oder kann ich da auch sagen:
Mac 1: 23 02 32 3e -> 192.168.7.1
Mac 1: 23 02 32 4e -> 192.168.7.2
Mac 1: 23 02 32 5e -> 192.168.8.1
Mac 1: 23 02 12 5d -> 192.168.8.2
...
Such mal nach IP-Helper Address
Ich glaube wenn Du dir das Thema selbst anschaust, verstehst du das hinterher besser deswegen hier nur der "Hint"
@Cloudrakete: Der herstellerneutrale Begriff lautet DHCP-Relay.
Es ist nicht zwingend, aber stark empfohlen: 1 VLAN = 1 IP-Netz. Wenn man es nicht einhält, dann verbaut man sich die Kommunikation zwischen den Netzen. Es gibt Szenarien, da können sich mehrere VLANs auch ein IP-Netz teilen, aber das sind Spezialfälle und wird meist in Verbindung mit einer transparenten Firewall eingesetzt, also ein sehr seltener Fall.
Es ist nicht zwingend, aber stark empfohlen: 1 VLAN = 1 IP-Netz. Wenn man es nicht einhält, dann verbaut man sich die Kommunikation zwischen den Netzen. Es gibt Szenarien, da können sich mehrere VLANs auch ein IP-Netz teilen, aber das sind Spezialfälle und wird meist in Verbindung mit einer transparenten Firewall eingesetzt, also ein sehr seltener Fall.
Wie bekomme ich dann die Kommunikation hin?
Einfach mal die Suchfunktion benutzen ! Zu dem oben genannten Link sollte auch die "VLAN Schnellschulung" helfen:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Je nachdem ob du Layer 2 VLAN Switches (kein Routing möglich) oder Layer 3 VLAN Switches (mit Routing) dein eigen nennst.
Mit reinen Layer 2 VLAN Switches benötigst du IMMER einen externen und VLAN fähigen Router oder Firewall.
Dieses Foren Tutorial erklärt dir alle Details plus Realisierung zu so einem Konzept. Außerdem enthält es noch Hinweise zu guten Tutorials und YouTube Filmchen zum Thema VLAN:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bist du glücklicher Besitzer eines Layer 3 fähigen VLAN Switches dann benötigst du natürlich keinen externen Router, denn das erledigt dann auch gleich der Switch selber. Guckst du hier für eine detailierte Lösung:
Verständnissproblem Routing mit SG300-28
DAS sind deinen beiden Optionen die du hast die Kommunikation zw. den VLAN IP Segmenten schnell und einfach zu realisieren.
Damit es schneller geht:
VLANs sind erst einmal komplett getrennte Netzwerke, sie sehen sich gegenseitig nicht - als ob du mehrere Switche übereinander stellst und sie nicht miteinander verbinden würdest.
Man kann zwischen zwei oder mehreren Netzen untereinander verbinden / routen.
Das Routing passiert entweder in einem Router oder in einem Layer3 fähigen Switch. Der Router ist ein Flaschenhals, aber einfacher zu konfigurieren, ein Layer 3 Switch ist extrem schnell, aber man sollte geübt sein um ihn zu konfigurieren.
Damit der Router zwischen den Netzen unterscheiden kann, sollten die Netzwerke unterschiedliche IP Bereiche haben. Damit auch mehrere Rechner in einem Netz sein können sollte ein IP Bereich etwas größer sein, als wie oben vorgeschlagen eine IP Nummer pro VLAN. Deswegen ist ein üblicher Vorschlag:
VLAN 1: 192.168.1.0-255 mit einer Netzwerkmaske von 255.255.255.0
VLAN 2: 192.168.2.0-255 mit einer Netzwerkmaske von 255.255.255.0
VLAN 3: 192.168.3.0-255 mit einer Netzwerkmaske von 255.255.255.0
...
Jeder dieser Netzwerke benötigt einen eigenen DHCP und DNS Server, da sie schlecht die DHCP Anfrage in einem anderen Netzwerk / VLAN stellen können, wo sie keine Antwort bekommen werden - sie haben ja keine Verbindung dorthin. Ebenfalls benötigt jeder dieser Netzwerke eine eigene Gateway ins Internet und in die anderen Netzwerke - üblicher Weise mit der ersten verfügbaren IP im jeweiligen Netz 192.168.x.1.
Diese 3 Gateways, können auch von einem einzigen Router versorgt werden. Diese 3 DHCP Server können ebenfalls von diesem einem Router gemacht werden. Ebenso die DNS Server. Dieser Router muss dafür zu jedem Netzwerk / VLAN Kontakt haben, also eine Netzwerkkarte / Schnittstelle in jedes VLAN - in diesem Beispiel also 3 Schnittstellen. Damit man keine 3 Kabel ziehen muss und am Switch keine 3 Ports mit jeweils einem konfigurierten VLAN belegt, kann dieser Router VLAN fähig sein und es werden alle 3 Netzwerke über ein Netzwerkkabel gesendet (VLAN Tagging). Eine Fritzbox fällt damit schon einmal aus ;c)
Das erst einmal für den Anfang zum verdauen.
VLANs sind erst einmal komplett getrennte Netzwerke, sie sehen sich gegenseitig nicht - als ob du mehrere Switche übereinander stellst und sie nicht miteinander verbinden würdest.
Man kann zwischen zwei oder mehreren Netzen untereinander verbinden / routen.
Das Routing passiert entweder in einem Router oder in einem Layer3 fähigen Switch. Der Router ist ein Flaschenhals, aber einfacher zu konfigurieren, ein Layer 3 Switch ist extrem schnell, aber man sollte geübt sein um ihn zu konfigurieren.
Damit der Router zwischen den Netzen unterscheiden kann, sollten die Netzwerke unterschiedliche IP Bereiche haben. Damit auch mehrere Rechner in einem Netz sein können sollte ein IP Bereich etwas größer sein, als wie oben vorgeschlagen eine IP Nummer pro VLAN. Deswegen ist ein üblicher Vorschlag:
VLAN 1: 192.168.1.0-255 mit einer Netzwerkmaske von 255.255.255.0
VLAN 2: 192.168.2.0-255 mit einer Netzwerkmaske von 255.255.255.0
VLAN 3: 192.168.3.0-255 mit einer Netzwerkmaske von 255.255.255.0
...
Jeder dieser Netzwerke benötigt einen eigenen DHCP und DNS Server, da sie schlecht die DHCP Anfrage in einem anderen Netzwerk / VLAN stellen können, wo sie keine Antwort bekommen werden - sie haben ja keine Verbindung dorthin. Ebenfalls benötigt jeder dieser Netzwerke eine eigene Gateway ins Internet und in die anderen Netzwerke - üblicher Weise mit der ersten verfügbaren IP im jeweiligen Netz 192.168.x.1.
Diese 3 Gateways, können auch von einem einzigen Router versorgt werden. Diese 3 DHCP Server können ebenfalls von diesem einem Router gemacht werden. Ebenso die DNS Server. Dieser Router muss dafür zu jedem Netzwerk / VLAN Kontakt haben, also eine Netzwerkkarte / Schnittstelle in jedes VLAN - in diesem Beispiel also 3 Schnittstellen. Damit man keine 3 Kabel ziehen muss und am Switch keine 3 Ports mit jeweils einem konfigurierten VLAN belegt, kann dieser Router VLAN fähig sein und es werden alle 3 Netzwerke über ein Netzwerkkabel gesendet (VLAN Tagging). Eine Fritzbox fällt damit schon einmal aus ;c)
Das erst einmal für den Anfang zum verdauen.
Du übersiehst das Router oder Firewall nur auf Layer 3 bzw. Layer 4 (Regelwerk) arbeiten.
Es ist NICHT Aufgabe von Routern oder Firewalls in den Content zu sehen der über ihr Netz übertragen wird.
Für sowas gibt es IDS und IPS Systeme am Netz oder Firewalls mit Deep Paket Inspection die sowas aktiv und sicher verhindern. Die schliessen dann den Räuber weg wenn sie ihn erkennen.
Wenn Lieschen Müller ihren USB Stick von zuhause mitbringt mit dem versteckten Ransom Trojaner an Bord und ihn in den Firmenrechner einsteckt kannst du das so erstmal auch nicht verhindern. Nicht anders ist das mit dem Netz wenn man nur auf eine simple Basiskonfig sieht und nicht über den Horizont.
Deine Argumentation ist eher eine Security Argumentation denn eine Infrastruktur Argumentation. Du redest also über Äpfel und Birnen und da liegt dein eigentlicher Fehler.
Es ist NICHT Aufgabe von Routern oder Firewalls in den Content zu sehen der über ihr Netz übertragen wird.
Für sowas gibt es IDS und IPS Systeme am Netz oder Firewalls mit Deep Paket Inspection die sowas aktiv und sicher verhindern. Die schliessen dann den Räuber weg wenn sie ihn erkennen.
Wenn Lieschen Müller ihren USB Stick von zuhause mitbringt mit dem versteckten Ransom Trojaner an Bord und ihn in den Firmenrechner einsteckt kannst du das so erstmal auch nicht verhindern. Nicht anders ist das mit dem Netz wenn man nur auf eine simple Basiskonfig sieht und nicht über den Horizont.
Deine Argumentation ist eher eine Security Argumentation denn eine Infrastruktur Argumentation. Du redest also über Äpfel und Birnen und da liegt dein eigentlicher Fehler.
VLANs teilen den Switch einfach nur in mehrere Switches auf. Es ist, vom Umstand der Möglichkeiten des VLAN-Trunking abgesehen, kein Unterschied, ob man einen Switch mit drei VLANs hat oder drei getrennte Switches.
Desweiteren müssen Drucker keine Antworten an Clients schicken, da zwischen Client und Drucker ein Druckserver sein sollte. Nur der Druckserver darf in das VLAN mit den Druckern greifen, kein Client oder wer auch sonst. Aus dem Drucker-VLAN darf auch keine ausgehende Kommunikation möglich sein, mit Ausnahme des Druckservers.
Die Sicherheit beim VLAN-Einsatz kommt nicht durch die VLANs selbst, sondern durch die Trennung auf Layer2 und Absonderung der Netzwerke auf den höheren Layern. Und das kann man auch ohne VLANs schaffen durch getrennte Hardware.
Damit sind VLANs alleine keine Sicherheitsfunktion.
Desweiteren müssen Drucker keine Antworten an Clients schicken, da zwischen Client und Drucker ein Druckserver sein sollte. Nur der Druckserver darf in das VLAN mit den Druckern greifen, kein Client oder wer auch sonst. Aus dem Drucker-VLAN darf auch keine ausgehende Kommunikation möglich sein, mit Ausnahme des Druckservers.
Die Sicherheit beim VLAN-Einsatz kommt nicht durch die VLANs selbst, sondern durch die Trennung auf Layer2 und Absonderung der Netzwerke auf den höheren Layern. Und das kann man auch ohne VLANs schaffen durch getrennte Hardware.
Damit sind VLANs alleine keine Sicherheitsfunktion.
Zitat von @tsunami:
Mittels VLAN soll doch verhindert werden, dass jemand zB einen USB-Stick einsteckt und der uU darauf befindliche Wurm sich übers ganze Netzwerk verteilt. Oder einer zieht nen Drucker aus und steckt da seinen Läppi ein. Aber gerade Drucker müssen natürlich Antworten an die anderen Clients senden.
Mittels VLAN soll doch verhindert werden, dass jemand zB einen USB-Stick einsteckt und der uU darauf befindliche Wurm sich übers ganze Netzwerk verteilt. Oder einer zieht nen Drucker aus und steckt da seinen Läppi ein. Aber gerade Drucker müssen natürlich Antworten an die anderen Clients senden.
USB Stick verhindern -> USB Ports blocken
Statt Drucker Client an LAN Port hängen -> MAC Adressen blockieren bzw. nur "gute" durchlassen
Und genau da müsste dann doch eine Unterscheidung stattfinden, ob aus dem Drucker VLAN Druckdaten kommen oder irgendwelche anderen Daten,
Richtig, denn du blockst dann einfach sämtlichen Traffic (auf Router/Layer 3 Switch) aus dem Drucker VLAN, außer z.B. Port 9100.
Mir geht es um die Sicherheit
VLANs haben aber mit dem Thema Sicherheit per se erstmal nichts zu tun. VLANs sind eine Layer 2 Funktion die erstmal nur zum Segmentieren bzw. Trennung von L2 Broadcast Domains definiert ist. Nicht mehr und nicht weniger.In wie weit man dann eine VLAN Infrastruktur gegen Missbrauch absichert ist eine weiterführende Frage.
Um mal bei deinem guten Beispiel mit dem Drucker zu bleiben regeln verantwortungsvolle Netzwerk Admins sowas immer mit einfacher 802.1x Port Authentisierung und dynamischen VLANs z.B. die man per Mausklick auf dem Switch aktiviert. In den meisten guten Firmennetzen ist das mittlerweile aus gutem Grund simpler Standard.
So lässt das Netz generell keinerlei fremde Geräte und auch Nutzer zu. Einfach mal einen Läppi statt des Druckers einstecken funktioniert dann nicht mehr. Als besondere Absicherung verteilt man mit 802.1x auch dynamische Accesslisten mit diesen Geräten und Usern die einen weiteren Level an Security einfügen.
Dazu kommt dann z.B. noch DHCP Snooping was den Gebrauch "wilder" DHCP Server verhindert usw. usw.
IDS/IPS Systeme komplettieren dann sowas am oberen Ende. Die checken mit Deep Packet Inspection oder Heuristiken den Traffic Content im Netz ab Layer 4 und höher und isolieren dann automatisch im V-Fall per SNMP befallene Endgeräte und kappen sie vom Netz.
Alles Add Ons die die Sicherheit in einem Netz wirklich wasserdicht machen. Als Unterbau setzen sie aber alle auf VLANs. Es ist also mehr ein Eco System als eine einzelne VLAN Funktion.
Genau das hast du vermutlich aus dem Fokus verloren bei der Beantwortung deiner Frage was VLANs eigentlich sind und was sie nur mit Zusatzfunktionen im Netz sind.
Zitat von @tsunami:
Wenn ich dann ein größeres Netzwerk habe mit was weiß ich 12 VLANS, würde es ja bedeuten, 12 Firewalls. Ergo rund 12k €!
Wenn ich dann ein größeres Netzwerk habe mit was weiß ich 12 VLANS, würde es ja bedeuten, 12 Firewalls. Ergo rund 12k €!
Falsch! Schau dir einfach mal diese Grafiken aus Aquis Tutorial an, das veranschaulicht das wunderbar.
Nur komme ich gerade aus ner Schulung, wo mehrfach auf die Trennung von Netzwerken als Sicherheitsfeature empfohlen wurde.
Das ist ja auch korrekt. Nur ist (wie oben schon gesagt) das Implementieren von VLAN's nur die Grundlage. Die Sicherheit kommt über die Firewallregeln.
Es wurde gesagt, dass ich dann für jedes Segment eine Firewall brauche.
Nein nicht zwingend...Wenn es dir nur um sinnvolle Segmentierung und Reduzierung der Broad- und Multicast Last geht benötigst du erstmal nichts.
Willst du Traffic kontrollieren also wer darf was und wohin, denn benötigst du entweder Access Listen wie z.B. auf einem Layer 3 also Routing Fähigen VLAN Switch oder eben eine Firewall.
Man sollte aber immer auf dem Radar haben das ACLs nicht statefull sind im Gegensatz zu einer Firewall die damit höhere Sicherheit gibt.
Jetzt ist man aber wieder oben bei einem umfassenden Security Konzept was aufzustellen ist und wo VLANs nur ein Punkt ist.
Du zäumst wieder das Pferd vollkommen falsch auf und gehst planlos vor indem du versuchst dein gesamtes Security Konzept auf einfache VLANs zu reduzieren.
Vollkommen der falsche Weg. Du solltest erst ein Gesamtkonzept erstellen was ALLE Punkte definiert.
Nur komme ich gerade aus ner Schulung, wo mehrfach auf die Trennung von Netzwerken als Sicherheitsfeature empfohlen wurde.
Zu Recht !! Allerdings kann das immer nur ein Wegpunkt zum Gesamtziel einer Security Infrastruktur sein. Das wurde dir oben ja schon mehrfach erklärt.Wenn ich dann ein größeres Netzwerk habe mit was weiß ich 12 VLANS, würde es ja bedeuten, 12 Firewalls.
Das ist natürlich technischer Quatsch und weisst du auch selber. Firewalls supporten heute 802.3q Trunk Ports so das das auch eine 200 Euro Firewall leistet sofern man eine Layer 2 VLAN Infrastruktur hat. Das hiesige_VLAN_Tutorial erklärt dir das ja auch im Detail für eine L2 Infrastruktur !!Bei so einer Anzahl von VLANs löst man das aber technisch besser mit einem Stack aus Layer 3 Core Switches.
Das ist der Unterschied Layer 2 oder Layer 3 VLAN Konzept wie dir oben auch schon erklärt wurde.
Dann müsste ich ja in der Firewall für verschiedene Segmente verschiedene Regeln machen...
Wie es ja schon seit Jahrzehneten auf Firewalls so üblich ist ! Heute arbeitet man in der Regel aber immer mit Zonen basierten Firewalls die die Regeln Zonen basiert anwenden. Man kumuliert dann mehrere IP Segmente in Zonen und definiert die Regeln Zonen übergreifend, was das FW Management erheblich verinfacht. Sollte man als Netzwerker aber mittlerweile auch wissen...
Nur komme ich gerade aus ner Schulung, wo mehrfach auf die Trennung von Netzwerken als Sicherheitsfeature empfohlen wurde.
Ich glaube, es wäre besser, wenn du dann direkt mal in die nächste Schulung hineingehst. Dir fehlt hier Grundlagenwissen, was du dir entweder selbst erarbeiten musst (nein, das Forum hier ist spezifische Fragen und nicht für Grundlagenwissen da) oder durch Schulungen. Allein das Basiswissen Netzwerk, was nötig ist, macht einen nicht unerheblichen Teil aus. Entsprechende systemspezifische Literatur hat über 2500 Seiten.
Das Konzept der Netzwerktrennung durch VLANs, Router und Firewalls gab es schon, als ich vor 15 Jahren im Bereich Netzwerke angefangen habe, gilt damit im Bereich der IT schon als essentiell.