8
Wieviel (v)LANs sind "normal"?
Umgebung ist eine Firma in NIS2-Nähe, ca. 100 PCs.
Ich dachte immer "keep it simple".
Ein Büro-Netz, ein PLS-Netz, je eine DMZ.
Dazu noch ein Backup-Netz, alles physisch getrennt.
So war die Welt in Ordnung.
Jetzt kommt eine E-Tankstelle ins LAN.
Eine Solaranlage.
Ein BHKW.
Hersteller wollen auf immer mehr Maschinen.
Darf nun der Toaster das BHKW steuern oder brauche ich eine separate DMZ für jede Anwendung?
Die Anomalieerkennung im PLS-Netz will unbedingt Internetzugang (bis jetzt ein No-Go).
Schon klar, Microsegmentierung und ZeroTrust.
Ein Netz für die Buchhaltung, für die Drucker, für jeden Frontend- zum Backend-Server.
Wie verwaltet man 20 vLANs? (Nicht technisch, sondern organisatorisch.)
Kabelfarben, bunte Aufkleber sind dann irgendwann nicht mehr möglich.
Switch-Bereiche physich beschriften?
Oder alles nur noch logisch im Switch und Software dokumentieren?
Ich wäre hier sehr dankbar für jede Idee oder praktische Erfahrung.
Uwe
Ich dachte immer "keep it simple".
Ein Büro-Netz, ein PLS-Netz, je eine DMZ.
Dazu noch ein Backup-Netz, alles physisch getrennt.
So war die Welt in Ordnung.
Jetzt kommt eine E-Tankstelle ins LAN.
Eine Solaranlage.
Ein BHKW.
Hersteller wollen auf immer mehr Maschinen.
Darf nun der Toaster das BHKW steuern oder brauche ich eine separate DMZ für jede Anwendung?
Die Anomalieerkennung im PLS-Netz will unbedingt Internetzugang (bis jetzt ein No-Go).
Schon klar, Microsegmentierung und ZeroTrust.
Ein Netz für die Buchhaltung, für die Drucker, für jeden Frontend- zum Backend-Server.
Wie verwaltet man 20 vLANs? (Nicht technisch, sondern organisatorisch.)
Kabelfarben, bunte Aufkleber sind dann irgendwann nicht mehr möglich.
Switch-Bereiche physich beschriften?
Oder alles nur noch logisch im Switch und Software dokumentieren?
Ich wäre hier sehr dankbar für jede Idee oder praktische Erfahrung.
Uwe
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671749
Url: https://administrator.de/forum/wieviel-vlans-sind-normal-671749.html
Ausgedruckt am: 04.03.2025 um 23:03 Uhr
8 Kommentare
Neuester Kommentar
nun - ich mache zB. Vendor-VLANs bei denen jeder Dienstleister "sein" Netzwerk hat und darin auch erstmal isoliert ist (bzw. nur die nötigen Dienste u. Seiten/Services freigegeben sind). Das hat für mich einige Vorteile:
- Es ist simpel mit der Firewall da ich einfach dem VLAN die Regeln verpassen kann
- Der DL kann mir (in grenzen) sagen was der in seinem VLAN braucht, ausser GW IP geb ich da erstmal nicht viel vor
- Sofern das VLAN gar keine Verbindung nach aussen braucht bleibts halt nen Flat-VLAN und da is es mir völlig egal (wenn zB. nur Maschinen kommunizieren müssen - die aber verteilt vor Ort stehen)
- Zugriffe per VPN sind recht einfach zu gestalten
Und am besten: selbst wenn der DL meint "ich häng mich einfach auf nen anderen Port" - ok, viel Spass... dort gibts dann ggf. Internet ABER dafür sind die eigenen Geräte dann nicht erreichbar. D.h. der hat nen eigenes Interesse daran das gleich richtig anzuschliessen...
- Es ist simpel mit der Firewall da ich einfach dem VLAN die Regeln verpassen kann
- Der DL kann mir (in grenzen) sagen was der in seinem VLAN braucht, ausser GW IP geb ich da erstmal nicht viel vor
- Sofern das VLAN gar keine Verbindung nach aussen braucht bleibts halt nen Flat-VLAN und da is es mir völlig egal (wenn zB. nur Maschinen kommunizieren müssen - die aber verteilt vor Ort stehen)
- Zugriffe per VPN sind recht einfach zu gestalten
Und am besten: selbst wenn der DL meint "ich häng mich einfach auf nen anderen Port" - ok, viel Spass... dort gibts dann ggf. Internet ABER dafür sind die eigenen Geräte dann nicht erreichbar. D.h. der hat nen eigenes Interesse daran das gleich richtig anzuschliessen...
kurz gesagt: "Soviel du brauchst" und "verwaltbar vertretbar"
Ich habe oben schon 6 gezählt .... manche teilen aber auch z.B. verschiedene Verwaltungen, Produktionsstätten, Drucker und Server auf.
Das kann eigentlich nur eure IT und das Management entscheiden ....
Ich habe oben schon 6 gezählt .... manche teilen aber auch z.B. verschiedene Verwaltungen, Produktionsstätten, Drucker und Server auf.
Das kann eigentlich nur eure IT und das Management entscheiden ....
Könntest evtl. mit Private VLAN arbeiten, für den ganzen sagen wir mal IoT Kram.
In Kurzform ist ein VLAN, aber die Geräte dürfen nicht untereinander sprechen, sondern nur mit der Firewall z. B.
In Kurzform ist ein VLAN, aber die Geräte dürfen nicht untereinander sprechen, sondern nur mit der Firewall z. B.
Moin,
Gruß
DivideByZero
Wie verwaltet man 20 vLANs? (Nicht technisch, sondern organisatorisch.)
ernst gemeint: wo ist das Problem? Sauber dokumentieren, und gut ist es.Kabelfarben, bunte Aufkleber sind dann irgendwann nicht mehr möglich.
Aber auch nicht notwendig. Wofür?Oder alles nur noch logisch im Switch und Software dokumentieren?
Ja, genau so. Warum nicht? Ist doch nur für die "Fachidioten" = IT erforderlich, alle anderen sollen ja die Finger weg lassen.Gruß
DivideByZero
Nachtrag:
Entscheidend ist wie beschrieben, die Doku.
Und ja: wenn man an verschiedenen Orten im Unternehmen 24/48-Port Switches einsetzt, müssen die natürlich VLANsund ggf Routing unterstützen...
... Aber NEIN: Das beschriften der Switch-Ports mit deren VLANs hilft....
beim Verlust der Übersicht 😉
Entscheidend ist wie beschrieben, die Doku.
Und ja: wenn man an verschiedenen Orten im Unternehmen 24/48-Port Switches einsetzt, müssen die natürlich VLANsund ggf Routing unterstützen...
... Aber NEIN: Das beschriften der Switch-Ports mit deren VLANs hilft....
beim Verlust der Übersicht 😉
Hi..
Ich würde das alles segmentieren (physikalisch) und über/oder eine FW trennen.. Ich habe solche Segmente (Aufzugssteuerung, Brandmeldeanlage, Einbruchserkennung..) komplett in anderen physikalisch getrennten Netzen sitzen.
Gruss Globe!
Ich würde das alles segmentieren (physikalisch) und über/oder eine FW trennen.. Ich habe solche Segmente (Aufzugssteuerung, Brandmeldeanlage, Einbruchserkennung..) komplett in anderen physikalisch getrennten Netzen sitzen.
Gruss Globe!
Moin,
wir sind gerade am segementieren und haben im Endausbau dann so 150-250 Vlans welche an jedem Standort identisch sind.
Eine vernünftige Planung ist unerlässlich. Bezüglich der Clients würde ich mir eh keine Gedanken machen. Das regelt das NAC von alleine.
Schwieriger sind die Server und die dafür nötigen Regeln auf der Segment Firewall da hier vorher schlicht keine Regeln notwendig waren. Somit muss jedes mal aufs neue eruiert werden, welchen Traffic wollen wir zulassen.
Mit der Kategorisierung nach Schutzkasse habe ich auch echt ein besseres Gefühl. Auch gerade dann wenn Dienstleister oder irgend welche Spezialfälle ins Spiel kommen.
Gruß
Spirit
wir sind gerade am segementieren und haben im Endausbau dann so 150-250 Vlans welche an jedem Standort identisch sind.
Eine vernünftige Planung ist unerlässlich. Bezüglich der Clients würde ich mir eh keine Gedanken machen. Das regelt das NAC von alleine.
Schwieriger sind die Server und die dafür nötigen Regeln auf der Segment Firewall da hier vorher schlicht keine Regeln notwendig waren. Somit muss jedes mal aufs neue eruiert werden, welchen Traffic wollen wir zulassen.
Mit der Kategorisierung nach Schutzkasse habe ich auch echt ein besseres Gefühl. Auch gerade dann wenn Dienstleister oder irgend welche Spezialfälle ins Spiel kommen.
Gruß
Spirit
Moin, VLAN sind auch simpel. Je nach Gateway kann man es auch mit Scripten konfigurieren. Einige haben API oder verfügen über Kommandozeilen Sprache.
Richtig gute Lösungen lassen auch "Modelle" zu. Man fast Dienste, Protokolle zusammen und verknüpft die mit einer Policy.
Bei meinen alten Arbeitgeber hat mein Vorgesetzter auch immer "keep it simple" oder besser "Wir haben gut zu tun" von sich gegeben. Da läuten die Alarmglocken.
https://netboxlabs.com/docs/netbox/en/stable/
OpenSource und on-premise. Damit sollte die Verwaltung schon mal in eine gute Richtung gehen. Man muss sich nur mal die Felder und Attribute des Programmes ansehen. Daraus ergibt sich dann schon eine grobe Richtung. Lokation-, Etage-, Raumverteiler. Könnte man als Kürzel nehme. L E R. Ggf. Mandanten, wenn es eine Firmengruppe ist. Firma A, B, C - entsprechend als Tag mit Anfangsbuchstaben.
So in der Form hat man eine gute Grundlage.
Die Netbox oben ist echt schon ein "Brett". Läuft aber auch unter Docker. Mit yaml Datei hast du einen ersten Eindruck auf deiner Büchse binnen Minuten.
https://netdisco.org/
Eine Config File und das Ding rennt los. Mitunter muss man noch von Hand die Uplinks nacharbeiten. Kommt auf die Switche und MIB's an. Manche haben TRUNK 1 - 8 schon vorgelegt, auch wenn nicht genutzt. Beim Auslesen schafft das Programm dann die Verbindung und man sieht die Topologie.
https://www.lantopolog.com/
Sehr günstig, tut eig. was es soll, stürzt bei mir nur oft ab. Für unter 30 Eur aber ansonsten eine schöne Methode. Über MAC Adressen kann man auch Devices "hinter" den Switchen sehen. VLANs einblenden. nur 1 VLAN auswählen und die beteiligten Switche anzeigen.
Wenn es etwas größer sein soll, wäre meine Antwort wohl Netbox.
https://github.com/netbox-community/netbox/blob/main/docs/media/screensh ...
https://demo.netbox.dev/
Klick auf Registrieren und wähle FREI einen Username und Passwort.
Es erschlägt dich! Aber sowas wie Standort, Geräterollen, Transportnetzgruppen kann man auch im kleinen Rahmen nutzen.
Du sollst nicht zum ISP werden oder eine Hochschule verwalten. Setz dich aber mal mit den Kategorien und Begriffen kurz auseinander. Wenn du den logischen Aufbau grob auf dein Szenario überträgst, möchte ich wetten dass eine Lösung nicht weit weg ist.
mfg Crusher
Richtig gute Lösungen lassen auch "Modelle" zu. Man fast Dienste, Protokolle zusammen und verknüpft die mit einer Policy.
Bei meinen alten Arbeitgeber hat mein Vorgesetzter auch immer "keep it simple" oder besser "Wir haben gut zu tun" von sich gegeben. Da läuten die Alarmglocken.
https://netboxlabs.com/docs/netbox/en/stable/
OpenSource und on-premise. Damit sollte die Verwaltung schon mal in eine gute Richtung gehen. Man muss sich nur mal die Felder und Attribute des Programmes ansehen. Daraus ergibt sich dann schon eine grobe Richtung. Lokation-, Etage-, Raumverteiler. Könnte man als Kürzel nehme. L E R. Ggf. Mandanten, wenn es eine Firmengruppe ist. Firma A, B, C - entsprechend als Tag mit Anfangsbuchstaben.
So in der Form hat man eine gute Grundlage.
Die Netbox oben ist echt schon ein "Brett". Läuft aber auch unter Docker. Mit yaml Datei hast du einen ersten Eindruck auf deiner Büchse binnen Minuten.
https://netdisco.org/
Eine Config File und das Ding rennt los. Mitunter muss man noch von Hand die Uplinks nacharbeiten. Kommt auf die Switche und MIB's an. Manche haben TRUNK 1 - 8 schon vorgelegt, auch wenn nicht genutzt. Beim Auslesen schafft das Programm dann die Verbindung und man sieht die Topologie.
https://www.lantopolog.com/
Sehr günstig, tut eig. was es soll, stürzt bei mir nur oft ab. Für unter 30 Eur aber ansonsten eine schöne Methode. Über MAC Adressen kann man auch Devices "hinter" den Switchen sehen. VLANs einblenden. nur 1 VLAN auswählen und die beteiligten Switche anzeigen.
Wenn es etwas größer sein soll, wäre meine Antwort wohl Netbox.
https://github.com/netbox-community/netbox/blob/main/docs/media/screensh ...
https://demo.netbox.dev/
Klick auf Registrieren und wähle FREI einen Username und Passwort.
Es erschlägt dich! Aber sowas wie Standort, Geräterollen, Transportnetzgruppen kann man auch im kleinen Rahmen nutzen.
Du sollst nicht zum ISP werden oder eine Hochschule verwalten. Setz dich aber mal mit den Kategorien und Begriffen kurz auseinander. Wenn du den logischen Aufbau grob auf dein Szenario überträgst, möchte ich wetten dass eine Lösung nicht weit weg ist.
mfg Crusher
