Welche Dienste bzw. Geräte in das Management VLAN

Hallo zusammen,

ich schleife momentan ein wenig an meinem privaten Netzwerkaufbau und grüble über das VLAN für das Management diverser Netzwerkkomponenten und -dienste.
Empfohlen wird für die Adminstration (Webinterfaces/HTTPS, SSH, Telnet, u.a.) der Kernkomponenten wie Switches, Router, u.a. ein eigenes VLAN einzurichten und somit vom Rest der Infrastruktur abzuschotten. Der Sinn dahinter ist mir klar aber dennoch entstehen da ein Paar Fragen.

1. Benutzt man dafür ein untagged VLAN? Also eben z.B. direkt das native/default (V)LAN(nicht1)?
2. Wie geht man mit Geräten um, die nur über eine Ethernet-Schnittstelle verfügen, aber sowohl Schnittstellen zur Administration als auch weitere Dienste (z.B. DNS(BL), DHCP, NTP) für andere Netzwerke bereitstellt?

Zu Punkt 2 sehe ich momentan zwei Möglichkeiten:

Diese Geräte im Management Netzwerk betreiben
1. und an Access Ports hängen, per ACL den Zugriff auf die benötigten Dienste erlauben
2. oder sofern die Netzwerkkarte es erlaubt, VLAN Interfaces anlegen, an einen Trunk Port hängen und die Dienste dann z.B. über das Server VLAN anbieten.

Macht das so Sinn bzw. gibt es bessere Möglichkeiten?

Beste Grüße

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 1500469359

Url: https://administrator.de/contentid/1500469359

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

5 Kommentare

Neuester Kommentar

Zu deinen Fragen:
1.)
Das kommt drauf an...wenn es ein externes Gerät wie IPMI Port usw. ist, dann ist das immer ein UNtagged Port. Es können aber auch Tagged Ports sein, wenn du z.B. über einen Trunk auf einen Server oder Switch gehst. Die Frage lässt sich so nicht beantworten weil man das Endgerät kennen müsste.
2.)
Dort legt man dann Access Listen an das eine Management Zugriff rein nur über das Management möglich ist. Du hast das schon selber richtig beantwortet.

Danke schonmal für dein Feedback!

Zitat von @aqui:
1.)
Das kommt drauf an...wenn es ein externes Gerät wie IPMI Port usw. ist, dann ist das immer ein UNtagged Port. Es können aber auch Tagged Ports sein, wenn du z.B. über einen Trunk auf einen Server oder Switch gehst. Die Frage lässt sich so nicht beantworten weil man das Endgerät kennen müsste.

Im einzelnen geht es momentan um folgende Systeme. Das ist auch der momentane Aufbau.

Cisco SG300-10MP (V110 default/untagged. VLAN1 wird nicht benutzt und hat keine zugewiesene IP Adresse.)

GE10=trunk{V110, V1254/tagged}
GE09=trunk{V110, V118/tagged}
GE08=access{V110}
GE07=access{V110}

OpnSense/APU2C4@GE10

igb0=WAN
igb1(.V1254)=trunk{V110, V1254/tagged}
igb2="nicht zugewiesen"  

Ubiquiti Unifi AP AC Lite@GE09

br0=trunk{V110, V118/tagged}

Rpi01/Unifi Controller@GE08

eth0=access{V110}

Rpi02/DNS/DHCP@GE07

eth0=access{V110}

Es gibt noch einen Drucker und eine NAS (Supermicro Board mir 2 Ethernet-Interfaces). Ich denke die haben im Management Netz aber nichts verloren. V1254 dienst als reines "Koppelnetz" (nebenbei, wie ist der korrekte englische Begriff dafür, Uplink?) zwischen L3 Switch und Firewall.

In diesem Szenario ist momentan das quasi Management VLAN #110. Besser wäre es dann aber wohl von default #110 wegzugehen, brachliegen zu lassen und für das Management ein neues, dediziertes VLAN zu definieren?

Zitat von @aqui:
2.)
Dort legt man dann Access Listen an das eine Management Zugriff rein nur über das Management möglich ist. Du hast das schon selber richtig beantwortet.

Ok, verstehe 🤓. D.h. über ACLs steuere ich dann, dass z.B. nur ein spezieller, administrativer Client Zugang zu den Webinterfaces, SSH etc. hat. Ebenso gebe ich den Zugriff für die weiteren Dienste wie DHCP, DNS, usw. für alle anderen VLANs frei in denen der jeweilige Dienst für den Betrieb notwendig ist. Korrekt?

Jupp, das ist korrekt !
Du routest ja vermutlich die VLANs zentral auf der OPNsense und dort aktivierst du dann auch das Regelwerk für den Management VLAN Zugang.