Welche Dienste bzw. Geräte in das Management VLAN
Hallo zusammen,
ich schleife momentan ein wenig an meinem privaten Netzwerkaufbau und grüble über das VLAN für das Management diverser Netzwerkkomponenten und -dienste.
Empfohlen wird für die Adminstration (Webinterfaces/HTTPS, SSH, Telnet, u.a.) der Kernkomponenten wie Switches, Router, u.a. ein eigenes VLAN einzurichten und somit vom Rest der Infrastruktur abzuschotten. Der Sinn dahinter ist mir klar aber dennoch entstehen da ein Paar Fragen.
1. Benutzt man dafür ein untagged VLAN? Also eben z.B. direkt das native/default (V)LAN(nicht1)?
2. Wie geht man mit Geräten um, die nur über eine Ethernet-Schnittstelle verfügen, aber sowohl Schnittstellen zur Administration als auch weitere Dienste (z.B. DNS(BL), DHCP, NTP) für andere Netzwerke bereitstellt?
Zu Punkt 2 sehe ich momentan zwei Möglichkeiten:
Diese Geräte im Management Netzwerk betreiben
1. und an Access Ports hängen, per ACL den Zugriff auf die benötigten Dienste erlauben
2. oder sofern die Netzwerkkarte es erlaubt, VLAN Interfaces anlegen, an einen Trunk Port hängen und die Dienste dann z.B. über das Server VLAN anbieten.
Macht das so Sinn bzw. gibt es bessere Möglichkeiten?
Beste Grüße
ich schleife momentan ein wenig an meinem privaten Netzwerkaufbau und grüble über das VLAN für das Management diverser Netzwerkkomponenten und -dienste.
Empfohlen wird für die Adminstration (Webinterfaces/HTTPS, SSH, Telnet, u.a.) der Kernkomponenten wie Switches, Router, u.a. ein eigenes VLAN einzurichten und somit vom Rest der Infrastruktur abzuschotten. Der Sinn dahinter ist mir klar aber dennoch entstehen da ein Paar Fragen.
1. Benutzt man dafür ein untagged VLAN? Also eben z.B. direkt das native/default (V)LAN(nicht1)?
2. Wie geht man mit Geräten um, die nur über eine Ethernet-Schnittstelle verfügen, aber sowohl Schnittstellen zur Administration als auch weitere Dienste (z.B. DNS(BL), DHCP, NTP) für andere Netzwerke bereitstellt?
Zu Punkt 2 sehe ich momentan zwei Möglichkeiten:
Diese Geräte im Management Netzwerk betreiben
1. und an Access Ports hängen, per ACL den Zugriff auf die benötigten Dienste erlauben
2. oder sofern die Netzwerkkarte es erlaubt, VLAN Interfaces anlegen, an einen Trunk Port hängen und die Dienste dann z.B. über das Server VLAN anbieten.
Macht das so Sinn bzw. gibt es bessere Möglichkeiten?
Beste Grüße
Please also mark the comments that contributed to the solution of the article
Content-Key: 1500469359
Url: https://administrator.de/contentid/1500469359
Printed on: May 8, 2024 at 16:05 o'clock
5 Comments
Latest comment
Zu deinen Fragen:
1.)
Das kommt drauf an...wenn es ein externes Gerät wie IPMI Port usw. ist, dann ist das immer ein UNtagged Port. Es können aber auch Tagged Ports sein, wenn du z.B. über einen Trunk auf einen Server oder Switch gehst. Die Frage lässt sich so nicht beantworten weil man das Endgerät kennen müsste.
2.)
Dort legt man dann Access Listen an das eine Management Zugriff rein nur über das Management möglich ist. Du hast das schon selber richtig beantwortet.
1.)
Das kommt drauf an...wenn es ein externes Gerät wie IPMI Port usw. ist, dann ist das immer ein UNtagged Port. Es können aber auch Tagged Ports sein, wenn du z.B. über einen Trunk auf einen Server oder Switch gehst. Die Frage lässt sich so nicht beantworten weil man das Endgerät kennen müsste.
2.)
Dort legt man dann Access Listen an das eine Management Zugriff rein nur über das Management möglich ist. Du hast das schon selber richtig beantwortet.
Wenn's das denn nun war bitte dann auch den Thread als erledigt schliessen !
How can I mark a post as solved?
How can I mark a post as solved?