5
Wie am besten? Server mit mehreren VLANs verbinden, oder Routen lassen?
Hallo zusammen,
mal eine allgemeine Verständnis-Frage wie man so etwas am besten und effizientesten löst:
Gegeben sei ein HyperV Server welcher 2 VMs hat: Einen DC und einen Applikations/File-Server. Der HyperV-Host hat 2 Physikalische Netzwerkkarten, beide sind als SET-Team eingerichtet. Diesem vSwitch ist eine Management vEthernet Karte zugewiesen um eben auf den Host selber auch darauf zuzugreifen für Management. Die Beiden Netzwerkkarten sind an einem Layer 2 Switch angeschlossen.
An diesem Switch hängen mehrere lokale Subnetze, jedes hat sein eigenes VLAN.
Netz A ist VLAN ID10
Netz B ist VLAN ID 20
Netz C ist VLAN ID 30
Netz A ist das Verwaltung Netz und darf auf den DC und Applikationsserver zugreifen. Also haben diese beiden VMs jeweils eine vNIC zugeordnet, welche die VLAN ID 10 hat - damit können alle Clients im Netzwerk A wunderbar mit den Servern arbeiten.
Jetzt gibt es aber Geräte im Netzwerk B welche auch auf ganz bestimmte Dienste auf den Applikations-Server drauf sollen, z..B. auf ein Webservice der da läuft auf Port 8090.
Auch Geräte im Netzwerk C sollen auf den Applikations-Server, via sFTP über Port 22. Wobei aber vom Netzwerk C nicht alle Geräte dahin dürfen, sondern nur bestimmte, also entweder auf MAC-Adress-ebene filtern, oder stumpf auf IP-Adress-ebene Filtern.
Wie macht man sowas jetzt am besten?
1. Dem Applikations-Server weitere vNICs zuordnen welche jeweils im VLAN 20 und VLAN 30 hängen und über die Windows-Firewall nur bestimmte eingehende IP Adressen gestatten darauf zuzugreifen?
2. oder einen Router an den Layer2 Switch mit dran hängen welcher auch als Gateway dient für alle Subnetze, also an allen VLANs hängt und darauf via Polciy based Routing arbeiten,
3. oder auf dem Hyper-V eine Routing-VM installieren (Welche da aber die einfach und nicht zu aufgebläht ist) um den Traffic direkt über den vSwitch abzufangen?
4. oder einen dicken Switch besorgen, worüber man solche entsprechenden Routing-Regeln einstellen kann - aber fungiert er dann noch als Switch wenn man nichts weiter konfiguriert außer eben die Mac Adressen doder IP Adressen der Endgeräte um zu sagen wer mit wem sprechen darf?
Variante 1 ist ja das einfachste, und hätte den voreilt, dass man den Gateway Eintrag der Endgeräte nicht anpassen muss, aber ich denke mal das ist dennoch die ungünstigste variante weil ein Server mit mehreren IP Adressen wird sicherlich hier und da probleme machen
Wie macht man so etwas am besten, bzw. was gibt es da an Switchen oder Routing-VMs um sowas einfach und elegant und ohne Flaschenhals umzusetzen, was auch in deutlich größeren Netzwerken mit deutlich mehr Subnetzen sauber funktioniert?
mal eine allgemeine Verständnis-Frage wie man so etwas am besten und effizientesten löst:
Gegeben sei ein HyperV Server welcher 2 VMs hat: Einen DC und einen Applikations/File-Server. Der HyperV-Host hat 2 Physikalische Netzwerkkarten, beide sind als SET-Team eingerichtet. Diesem vSwitch ist eine Management vEthernet Karte zugewiesen um eben auf den Host selber auch darauf zuzugreifen für Management. Die Beiden Netzwerkkarten sind an einem Layer 2 Switch angeschlossen.
An diesem Switch hängen mehrere lokale Subnetze, jedes hat sein eigenes VLAN.
Netz A ist VLAN ID10
Netz B ist VLAN ID 20
Netz C ist VLAN ID 30
Netz A ist das Verwaltung Netz und darf auf den DC und Applikationsserver zugreifen. Also haben diese beiden VMs jeweils eine vNIC zugeordnet, welche die VLAN ID 10 hat - damit können alle Clients im Netzwerk A wunderbar mit den Servern arbeiten.
Jetzt gibt es aber Geräte im Netzwerk B welche auch auf ganz bestimmte Dienste auf den Applikations-Server drauf sollen, z..B. auf ein Webservice der da läuft auf Port 8090.
Auch Geräte im Netzwerk C sollen auf den Applikations-Server, via sFTP über Port 22. Wobei aber vom Netzwerk C nicht alle Geräte dahin dürfen, sondern nur bestimmte, also entweder auf MAC-Adress-ebene filtern, oder stumpf auf IP-Adress-ebene Filtern.
Wie macht man sowas jetzt am besten?
1. Dem Applikations-Server weitere vNICs zuordnen welche jeweils im VLAN 20 und VLAN 30 hängen und über die Windows-Firewall nur bestimmte eingehende IP Adressen gestatten darauf zuzugreifen?
2. oder einen Router an den Layer2 Switch mit dran hängen welcher auch als Gateway dient für alle Subnetze, also an allen VLANs hängt und darauf via Polciy based Routing arbeiten,
3. oder auf dem Hyper-V eine Routing-VM installieren (Welche da aber die einfach und nicht zu aufgebläht ist) um den Traffic direkt über den vSwitch abzufangen?
4. oder einen dicken Switch besorgen, worüber man solche entsprechenden Routing-Regeln einstellen kann - aber fungiert er dann noch als Switch wenn man nichts weiter konfiguriert außer eben die Mac Adressen doder IP Adressen der Endgeräte um zu sagen wer mit wem sprechen darf?
Variante 1 ist ja das einfachste, und hätte den voreilt, dass man den Gateway Eintrag der Endgeräte nicht anpassen muss, aber ich denke mal das ist dennoch die ungünstigste variante weil ein Server mit mehreren IP Adressen wird sicherlich hier und da probleme machen
Wie macht man so etwas am besten, bzw. was gibt es da an Switchen oder Routing-VMs um sowas einfach und elegant und ohne Flaschenhals umzusetzen, was auch in deutlich größeren Netzwerken mit deutlich mehr Subnetzen sauber funktioniert?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669775
Url: https://administrator.de/contentid/669775
Ausgedruckt am: 26.11.2024 um 14:11 Uhr
5 Kommentare
Neuester Kommentar
Eigentlich eine klassische Bilderbuch Firewall oder Accesslisten Anwendung...
Die eigentliche, zentrale Frage die du gar nicht beantwortet hast ist ob es und wenn ja welche Security Policy denn besteht diese VMs bzw. Server zu schützen? Davon hängt doch alles andere ab.
Variante 1 ist sicher die schlechteste Option wenn es darum geht Zugriffe zu reglementieren. Normalerweise macht das eine zentrale L3 Instanz wo diese Sicherheitspolicies umgesetzt werden.
Jeder popelige Layer 3 VLAN Switch von der Stange oder jede beliebige Firewall wie z.B. OPNsense oder pfSense usw. kann so etwas technisch umsetzen.
Vorteil1: Schnelles Forwarding in Wirespeed. Nachteil1: L3 ACLs auf Switches sind nicht stateful.
Vorteil2: Sehr granulare Regeln bzw. Policies die stateful sind. Nachteil2: Kein Wirespeed bzw. abhängig von der Anbindung.
Diese 2 klassischen und einfachen Design Szenarien beschreiben 2 hiesige Forenthreads:
Layer 2 Lösung mit bestehendem Switch und ext. Router o. Firewall
Layer 3 VLAN Switch Lösung mit ACL
Lesen und verstehen...
Ob man bei Lösung 1 die L3 Instanz als bare Metal oder VM betreibt ist dabei egal. Beispiele für VMs findest du hier und hier. Das kann man sogar im laufenden Betrieb parallel aufsetzen und testen.
Nebenbei: Policy "Routing" ist für so ein simples Szenario nicht erforderlich! Hier machst du vermutlich einen Denkfehler. Simple Firewall Regeln oder ACLs reichen dafür vollauf.
Die eigentliche, zentrale Frage die du gar nicht beantwortet hast ist ob es und wenn ja welche Security Policy denn besteht diese VMs bzw. Server zu schützen? Davon hängt doch alles andere ab.
Variante 1 ist sicher die schlechteste Option wenn es darum geht Zugriffe zu reglementieren. Normalerweise macht das eine zentrale L3 Instanz wo diese Sicherheitspolicies umgesetzt werden.
Jeder popelige Layer 3 VLAN Switch von der Stange oder jede beliebige Firewall wie z.B. OPNsense oder pfSense usw. kann so etwas technisch umsetzen.
Vorteil1: Schnelles Forwarding in Wirespeed. Nachteil1: L3 ACLs auf Switches sind nicht stateful.
Vorteil2: Sehr granulare Regeln bzw. Policies die stateful sind. Nachteil2: Kein Wirespeed bzw. abhängig von der Anbindung.
Diese 2 klassischen und einfachen Design Szenarien beschreiben 2 hiesige Forenthreads:
Layer 2 Lösung mit bestehendem Switch und ext. Router o. Firewall
Layer 3 VLAN Switch Lösung mit ACL
Lesen und verstehen...
Ob man bei Lösung 1 die L3 Instanz als bare Metal oder VM betreibt ist dabei egal. Beispiele für VMs findest du hier und hier. Das kann man sogar im laufenden Betrieb parallel aufsetzen und testen.
Nebenbei: Policy "Routing" ist für so ein simples Szenario nicht erforderlich! Hier machst du vermutlich einen Denkfehler. Simple Firewall Regeln oder ACLs reichen dafür vollauf.
1
Ich verstehe noch nicht ganz den Ist-Zustand. Die drei Netze gibt es schon, richtig? Wie arbeiten die den bisher, völlig getrennt? Was ist denn aktuell das Gateway?
1
Der Ist-zustand ist aktuell Variante 2 aber ich denke das ist auf dauer so auch nicht gut, weil alles erst über den Switch läuft, der Schiebt es weiter zum Router, der macht das umsetzen in ein anderes Netz, gibt es weiter zum Switch, der gibts weiter zum Server, und den ganzen weg muss das ganze wieder zurück. Das kostet doch unnötig zeit und Latenzen und Traffic was man sicherlich optimaler lösen kann.
Was genau ist mit Security Policy gemeint? es soll halt so sein, dass nichts vom Netzwerk A ins Netzwerk B oder C soll (von den Clients und anderem Server im Netzwerk A) - außer eben genau das, was via Regelwerk gesagt wurde, also dass z.B. die eine bestimmte IP aus Netzwerk B, Richtung IP Netzwerk A (Applikations-Server) nur über diesen einen Port zugreifen darf.
Das läuft aktuell über eine Securepoint UTM, also ähnlich wie eine Sophos oder was es da so gibt.
Angenommen der Applikations-Server im Netz A/VLAN10 hat die IP: 192.168.10.10
Der Client aus Netzwerk B/VLAN20 hat die IP 192.168.20.5
die Firewall hat an einem Netzwerkanschluss mehrere VLANs zugeordnet, die Zonen. Jeder Client der der in einer Regel auftauchen soll wird als Host-Objekt mit seiner IP in der jeweiligen Zone angelegt.
Dann reicht eine einzelne Regel zu um z.B. einen Ping abzusetzen und zurück zu bekommen:
Quelle: Client (192.168.20.5, Zone VLAN20), Ziel: AppServer (192.168.10.10, Zone VLAN10), Dienst: ICMP Echo-Req
damit kann ich vom Client-PC mit seiner IP 192.168.20.5 direkt die 192.168.10.10 anpingen (sofern da die Windows-Firewall zustimmt) und erhalte auch sauber einen ping zurück. Natürlich ist der Router in seinem jeweiligen VLAN als Gateway bei den Clients hinterlegt.
Das funktioniert so schon sehr gut, aber ich habe so das gefühl, dass es nicht richtig ist die UTM für sowas zu verwenden, eben weil die Pakete mehrere wege nehmen müssen, was sicherlich nochweniger gut ist, wenn mehrere Clients auf verschiedenen Servern riesige Dateien verschieben mit zich Gigabyte größe, und das ganze über eine einzelne 10G Schnittstelle der UTM...
Klar, gibt auch größere UTMs vo denen, wo ich auch mit mehreren Schnittstellen auf den Switch gehen könnte, aber ich weiß halt nicht, ob das ganze "gut" ist es so zu betreiben - auch wenn es gut funktioniert und ich mich mitlerweile recht gut eingefuchst habe wie da was zu konfigurieren ist.
dachte bisher, dass Policy Based Routing genau sowas ist, also welche IP über welchen Port wohin darf (optional noch via HIDENAT oder DESTNAT).
Mit dem Begriff Statefull oder Stateless (diese Einstellung gibt es auch auf der UTM) kann ich leider nix anfangen was damit gemeint ist
Was genau ist mit Security Policy gemeint? es soll halt so sein, dass nichts vom Netzwerk A ins Netzwerk B oder C soll (von den Clients und anderem Server im Netzwerk A) - außer eben genau das, was via Regelwerk gesagt wurde, also dass z.B. die eine bestimmte IP aus Netzwerk B, Richtung IP Netzwerk A (Applikations-Server) nur über diesen einen Port zugreifen darf.
Das läuft aktuell über eine Securepoint UTM, also ähnlich wie eine Sophos oder was es da so gibt.
Angenommen der Applikations-Server im Netz A/VLAN10 hat die IP: 192.168.10.10
Der Client aus Netzwerk B/VLAN20 hat die IP 192.168.20.5
die Firewall hat an einem Netzwerkanschluss mehrere VLANs zugeordnet, die Zonen. Jeder Client der der in einer Regel auftauchen soll wird als Host-Objekt mit seiner IP in der jeweiligen Zone angelegt.
Dann reicht eine einzelne Regel zu um z.B. einen Ping abzusetzen und zurück zu bekommen:
Quelle: Client (192.168.20.5, Zone VLAN20), Ziel: AppServer (192.168.10.10, Zone VLAN10), Dienst: ICMP Echo-Req
damit kann ich vom Client-PC mit seiner IP 192.168.20.5 direkt die 192.168.10.10 anpingen (sofern da die Windows-Firewall zustimmt) und erhalte auch sauber einen ping zurück. Natürlich ist der Router in seinem jeweiligen VLAN als Gateway bei den Clients hinterlegt.
Das funktioniert so schon sehr gut, aber ich habe so das gefühl, dass es nicht richtig ist die UTM für sowas zu verwenden, eben weil die Pakete mehrere wege nehmen müssen, was sicherlich nochweniger gut ist, wenn mehrere Clients auf verschiedenen Servern riesige Dateien verschieben mit zich Gigabyte größe, und das ganze über eine einzelne 10G Schnittstelle der UTM...
Klar, gibt auch größere UTMs vo denen, wo ich auch mit mehreren Schnittstellen auf den Switch gehen könnte, aber ich weiß halt nicht, ob das ganze "gut" ist es so zu betreiben - auch wenn es gut funktioniert und ich mich mitlerweile recht gut eingefuchst habe wie da was zu konfigurieren ist.
dachte bisher, dass Policy Based Routing genau sowas ist, also welche IP über welchen Port wohin darf (optional noch via HIDENAT oder DESTNAT).
Mit dem Begriff Statefull oder Stateless (diese Einstellung gibt es auch auf der UTM) kann ich leider nix anfangen was damit gemeint ist
Was genau ist mit Security Policy gemeint?
In jeder auf Datensicherheit bedachten Firma gibt es festgelegete Security Regeln nach denen Netzwerk Segmentierungen und Zugriffe geregelt sind und die es entsprechend dazu konform umzusetzen gilt. Ist ja schon seit Jahrzehnten so. was man sicherlich optimaler lösen kann.
Richtig! Dann eben einen Trunk mit hoher Link Speed oder statt eines VLAN Trunks dedizierte Links in die entsprechenden VLANs. Oder eben gleich die L3 VLAN Switch Lösung die das alles in Silizum und Wirespeed macht. Wenn du dann mit nicht stateful ACLs leben kannst ist alles gut.Das läuft aktuell über eine Securepoint UTM
Ist doch ideal, dann hast du ja also schon die Hardware um zumindestens Lösung 1 problemlos umzusetzen.Dann reicht eine einzelne Regel zu um z.B. einen Ping abzusetzen und zurück zu bekommen:
Jepp bingo! So einfach ist das Ganze! dass es nicht richtig ist die UTM für sowas zu verwenden, eben weil die Pakete mehrere Wege nehmen müssen
Das ist ja üblich so bei einem IP Routing. Vielleicht fehlen dir dazu noch die jeweiligen Grundlagen?! Mit moderner Hardware ist es heute (fast) egal ob du eine Layer 2 Forwarding auf Mac Adressbasis machst oder das gleiche auf IP Basis.wenn mehrere Clients auf verschiedenen Servern riesige Dateien verschieben mit zich GIgabyte größe, und das ganze über eine einzelne 10G Schnittstelle der UTM...
So pauschal gesagt ohne das genaue Design deines Restnetzwerkes zu kennen kann man das nicht sagen. Wenn die Clients mit den üblichen 1Gig angebunden sind könnten dies zu mindestens 10 dieser Clients gleichzeitig in Wirespeed erledigen.Sollten es mehr sein löst man das idealerweise mit einem üblichen LACP LAG und Link Aggregation um die Last entsprechend zu minimieren. Bei mit Trunk angebundenen L3 Devices ist das eh üblicher Standard. Reicht das nicht, nimmt man einem L3 Switch der diese Limits nicht kennt.
Es kommt also, wie immer, auf die jeweiligen Anforderungen und die Infrastruktur drauf an was du als gestandener Informatiker ja auch sicher selber weisst.
2
Oh, also meinst du, dass die Securepoint UTM schon ganz gut für sowas gedacht ist? Klar könnte ich auch mit mehreren Links auf den Switch gehen, aber ich hab so meine bedenken, dass wenn eben zich tausende Anfragen aus verschiedenen Netzen ein einzelnes Physikalisches Interface was eben in mehreren VLAN steht, schnell überlasten kann?
LACP mit aktuellen Windows Hyper-V Servern wird ja nicht mehr sogern gesehen/genutzt, zumindest scheint MS das so zu wollen, wenn die ihre sache mit dem SET vSwitch so pushen...
LACP von Switch zu UTM geht natürlich...aber ich hab immer bammel, dass die CPU so einer UTM schnell überlastet sein könnte und dann nix mehr geht, oder gar pakete verworfen werden.
Kenne das ja von Windows Systemen die eine 10G Karte drin haben. Wenn die CPU nicht stark genug ist, erreicht man nichtmal 10G bei einem Single-File-Stream (RSS und VMQ hilft ja nur bei vielen gleichzeitigen anfragen um die Last auf mehrere CPU-Kerne zu verteilen)
LACP mit aktuellen Windows Hyper-V Servern wird ja nicht mehr sogern gesehen/genutzt, zumindest scheint MS das so zu wollen, wenn die ihre sache mit dem SET vSwitch so pushen...
LACP von Switch zu UTM geht natürlich...aber ich hab immer bammel, dass die CPU so einer UTM schnell überlastet sein könnte und dann nix mehr geht, oder gar pakete verworfen werden.
Kenne das ja von Windows Systemen die eine 10G Karte drin haben. Wenn die CPU nicht stark genug ist, erreicht man nichtmal 10G bei einem Single-File-Stream (RSS und VMQ hilft ja nur bei vielen gleichzeitigen anfragen um die Last auf mehrere CPU-Kerne zu verteilen)
