5
Welche Dienste bzw. Geräte in das Management VLAN
Hallo zusammen,
ich schleife momentan ein wenig an meinem privaten Netzwerkaufbau und grüble über das VLAN für das Management diverser Netzwerkkomponenten und -dienste.
Empfohlen wird für die Adminstration (Webinterfaces/HTTPS, SSH, Telnet, u.a.) der Kernkomponenten wie Switches, Router, u.a. ein eigenes VLAN einzurichten und somit vom Rest der Infrastruktur abzuschotten. Der Sinn dahinter ist mir klar aber dennoch entstehen da ein Paar Fragen.
1. Benutzt man dafür ein untagged VLAN? Also eben z.B. direkt das native/default (V)LAN(nicht1)?
2. Wie geht man mit Geräten um, die nur über eine Ethernet-Schnittstelle verfügen, aber sowohl Schnittstellen zur Administration als auch weitere Dienste (z.B. DNS(BL), DHCP, NTP) für andere Netzwerke bereitstellt?
Zu Punkt 2 sehe ich momentan zwei Möglichkeiten:
Diese Geräte im Management Netzwerk betreiben
1. und an Access Ports hängen, per ACL den Zugriff auf die benötigten Dienste erlauben
2. oder sofern die Netzwerkkarte es erlaubt, VLAN Interfaces anlegen, an einen Trunk Port hängen und die Dienste dann z.B. über das Server VLAN anbieten.
Macht das so Sinn bzw. gibt es bessere Möglichkeiten?
Beste Grüße
ich schleife momentan ein wenig an meinem privaten Netzwerkaufbau und grüble über das VLAN für das Management diverser Netzwerkkomponenten und -dienste.
Empfohlen wird für die Adminstration (Webinterfaces/HTTPS, SSH, Telnet, u.a.) der Kernkomponenten wie Switches, Router, u.a. ein eigenes VLAN einzurichten und somit vom Rest der Infrastruktur abzuschotten. Der Sinn dahinter ist mir klar aber dennoch entstehen da ein Paar Fragen.
1. Benutzt man dafür ein untagged VLAN? Also eben z.B. direkt das native/default (V)LAN(nicht1)?
2. Wie geht man mit Geräten um, die nur über eine Ethernet-Schnittstelle verfügen, aber sowohl Schnittstellen zur Administration als auch weitere Dienste (z.B. DNS(BL), DHCP, NTP) für andere Netzwerke bereitstellt?
Zu Punkt 2 sehe ich momentan zwei Möglichkeiten:
Diese Geräte im Management Netzwerk betreiben
1. und an Access Ports hängen, per ACL den Zugriff auf die benötigten Dienste erlauben
2. oder sofern die Netzwerkkarte es erlaubt, VLAN Interfaces anlegen, an einen Trunk Port hängen und die Dienste dann z.B. über das Server VLAN anbieten.
Macht das so Sinn bzw. gibt es bessere Möglichkeiten?
Beste Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1500469359
Url: https://administrator.de/contentid/1500469359
Printed on: May 8, 2024 at 16:05 o'clock
5 Comments
Latest comment
Zu deinen Fragen:
1.)
Das kommt drauf an...wenn es ein externes Gerät wie IPMI Port usw. ist, dann ist das immer ein UNtagged Port. Es können aber auch Tagged Ports sein, wenn du z.B. über einen Trunk auf einen Server oder Switch gehst. Die Frage lässt sich so nicht beantworten weil man das Endgerät kennen müsste.
2.)
Dort legt man dann Access Listen an das eine Management Zugriff rein nur über das Management möglich ist. Du hast das schon selber richtig beantwortet.
1.)
Das kommt drauf an...wenn es ein externes Gerät wie IPMI Port usw. ist, dann ist das immer ein UNtagged Port. Es können aber auch Tagged Ports sein, wenn du z.B. über einen Trunk auf einen Server oder Switch gehst. Die Frage lässt sich so nicht beantworten weil man das Endgerät kennen müsste.
2.)
Dort legt man dann Access Listen an das eine Management Zugriff rein nur über das Management möglich ist. Du hast das schon selber richtig beantwortet.
Danke schonmal für dein Feedback!
Im einzelnen geht es momentan um folgende Systeme. Das ist auch der momentane Aufbau.
Cisco SG300-10MP (V110 default/untagged. VLAN1 wird nicht benutzt und hat keine zugewiesene IP Adresse.)
OpnSense/APU2C4@GE10
Ubiquiti Unifi AP AC Lite@GE09
Rpi01/Unifi Controller@GE08
Rpi02/DNS/DHCP@GE07
Es gibt noch einen Drucker und eine NAS (Supermicro Board mir 2 Ethernet-Interfaces). Ich denke die haben im Management Netz aber nichts verloren. V1254 dienst als reines "Koppelnetz" (nebenbei, wie ist der korrekte englische Begriff dafür, Uplink?) zwischen L3 Switch und Firewall.
In diesem Szenario ist momentan das quasi Management VLAN #110. Besser wäre es dann aber wohl von default #110 wegzugehen, brachliegen zu lassen und für das Management ein neues, dediziertes VLAN zu definieren?
Ok, verstehe 🤓. D.h. über ACLs steuere ich dann, dass z.B. nur ein spezieller, administrativer Client Zugang zu den Webinterfaces, SSH etc. hat. Ebenso gebe ich den Zugriff für die weiteren Dienste wie DHCP, DNS, usw. für alle anderen VLANs frei in denen der jeweilige Dienst für den Betrieb notwendig ist. Korrekt?
Zitat von @aqui:
1.)
Das kommt drauf an...wenn es ein externes Gerät wie IPMI Port usw. ist, dann ist das immer ein UNtagged Port. Es können aber auch Tagged Ports sein, wenn du z.B. über einen Trunk auf einen Server oder Switch gehst. Die Frage lässt sich so nicht beantworten weil man das Endgerät kennen müsste.
1.)
Das kommt drauf an...wenn es ein externes Gerät wie IPMI Port usw. ist, dann ist das immer ein UNtagged Port. Es können aber auch Tagged Ports sein, wenn du z.B. über einen Trunk auf einen Server oder Switch gehst. Die Frage lässt sich so nicht beantworten weil man das Endgerät kennen müsste.
Im einzelnen geht es momentan um folgende Systeme. Das ist auch der momentane Aufbau.
Cisco SG300-10MP (V110 default/untagged. VLAN1 wird nicht benutzt und hat keine zugewiesene IP Adresse.)
GE10=trunk{V110, V1254/tagged}
GE09=trunk{V110, V118/tagged}
GE08=access{V110}
GE07=access{V110}OpnSense/APU2C4@GE10
igb0=WAN
igb1(.V1254)=trunk{V110, V1254/tagged}
igb2="nicht zugewiesen" Ubiquiti Unifi AP AC Lite@GE09
br0=trunk{V110, V118/tagged}Rpi01/Unifi Controller@GE08
eth0=access{V110}Rpi02/DNS/DHCP@GE07
eth0=access{V110}Es gibt noch einen Drucker und eine NAS (Supermicro Board mir 2 Ethernet-Interfaces). Ich denke die haben im Management Netz aber nichts verloren. V1254 dienst als reines "Koppelnetz" (nebenbei, wie ist der korrekte englische Begriff dafür, Uplink?) zwischen L3 Switch und Firewall.
In diesem Szenario ist momentan das quasi Management VLAN #110. Besser wäre es dann aber wohl von default #110 wegzugehen, brachliegen zu lassen und für das Management ein neues, dediziertes VLAN zu definieren?
Zitat von @aqui:
2.)
Dort legt man dann Access Listen an das eine Management Zugriff rein nur über das Management möglich ist. Du hast das schon selber richtig beantwortet.
2.)
Dort legt man dann Access Listen an das eine Management Zugriff rein nur über das Management möglich ist. Du hast das schon selber richtig beantwortet.
Ok, verstehe 🤓. D.h. über ACLs steuere ich dann, dass z.B. nur ein spezieller, administrativer Client Zugang zu den Webinterfaces, SSH etc. hat. Ebenso gebe ich den Zugriff für die weiteren Dienste wie DHCP, DNS, usw. für alle anderen VLANs frei in denen der jeweilige Dienst für den Betrieb notwendig ist. Korrekt?
Jupp, das ist korrekt !
Du routest ja vermutlich die VLANs zentral auf der OPNsense und dort aktivierst du dann auch das Regelwerk für den Management VLAN Zugang.
Du routest ja vermutlich die VLANs zentral auf der OPNsense und dort aktivierst du dann auch das Regelwerk für den Management VLAN Zugang.
Wenn's das denn nun war bitte dann auch den Thread als erledigt schliessen !
How can I mark a post as solved?
How can I mark a post as solved?
Noch nicht, hatte leider noch keine Zeit zum antworten. -_-
