Ankündigung

Einklappen
Keine Ankündigung bisher.

Aufbau der VLAN-Struktur

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    [Netzwerk] Aufbau der VLAN-Struktur

    Hallo Forum,

    ich bin gerade dabei, dass ich mein Heimnetzwerk strukturieren bzw. mit VLAN's aufteilen will.

    Die Gründe dafür sind:

    -) Personen/Geräte von anderen Netzen fernhalten
    -) Diversen Geräten den Internet-Zugang verwehren
    -) Abschottung und Geschwindigkeitsbegrenzung von Gast-Netzwerk

    Für manche Personen werden diese Gründe logisch und sinnvoll erscheinen, für den anderen aber unnötig.
    Das Thema "VLAN ja oder nein" wurde schon öfters in anderen Themen diskutiert.

    In diesem Thema würde mich interessieren, wie eure VLAN-Struktur ausschaut und was die Gründe dafür waren.
    Nach vielem Suchen nach Beispielen im Internet und im Forum habe ich für mich diese Struktur "entwickelt".

    192.168.0.0/24 - VLAN 1 - Computer
    192.168.1.0/24 - VLAN 10 - Geräte mit Internetzugriff
    192.168.2.0/24 - VLAN 20 - Geräte ohne Internetzugriff
    192.168.3.0/24 - VLAN 30 - Kameras
    192.168.4.0/24 - VLAN 40 - Pool (Außenbereich)
    192.168.5.0/24 - VLAN 50 - User 1
    192.168.6.0/24 - VLAN 60 - User 2
    192.168.10.0/24 - VLAN 100 - Gast

    Zwischen den VLAN's werden dann einzelne Routing-Verbindungen erstellt um definierten Zugriff auf andere Geräte/Netze zu erhalten.

    Was haltet ihr davon?
    Wahrscheinlich werden einige das als "Overkill" bezeichnen...
    Zuletzt geändert von Eraser; 22.01.2019, 08:17.
    mfg
    Wolfgang

    #2
    Ich für meinen Teil würde ein Managment VLan noch einplanen.

    Hier kommen alle Geräte rein wie Switch, AP praktisch die Konfigurationsseite der Geräte.
    Bei IP Kameras kann man auch oft die Stream Seite und die Admin Seite in eigene Vlans packen.

    Sonst passt es was du machst so.

    Von der Securitiy Seite heisst es immer das Vlan1 nie Produktiv nutzen sollte da dort die meisten Angriffe drauf passieren.

    Kommentar


      #3
      Zitat von srom Beitrag anzeigen
      Ich für meinen Teil würde ein Managment VLan noch einplanen.
      Das ist bei mir das VLAN 1, da sind alle Unifi-Geräte drin und nur mein Computer. Die anderen Computer sind auf VLAN 50 und VLAN 60 ausgelagert.
      Aber wenn es Sinn macht, dann kann ich meinen Computer auch noch auf ein anderes VLAN auslagern.

      Zitat von srom Beitrag anzeigen
      Von der Securitiy Seite heisst es immer das Vlan1 nie Produktiv nutzen sollte da dort die meisten Angriffe drauf passieren.
      Das würde dann das bestätigen, dass ich meinen Rechner auch noch aus dem VLAN 1 rausgebe.

      Danke schon mal für die Infos.


      Interessant wäre es ja noch, dass Geräte, die eine Internetverbindung brauchen, die anderen Geräte im gleichen VLAN nicht sehen können. Aber dann müsste man ja für jedes Gerät ein eigenes VLAN machen und das wär dann ein bisschen zu viel des Guten

      Oder macht ihr das irgendwie anders?
      Zuletzt geändert von Eraser; 22.01.2019, 11:03.
      mfg
      Wolfgang

      Kommentar


        #4
        Eine Frage habe ich noch zu den VLAN's bei den Unfi-Geräten:

        Angenommen ich habe in einem VLAN einen Computer und ein NAS.
        Wenn ich nun Daten zwischen den beiden transferiere, dann laufen die Daten anscheinend nicht direkt beim Switch von Port zu Port, sondern erst den Umweg über das Security Gateway, da anscheinend die Unifi-Switches keine Layer 3-Switch sind und somit auch kein direktes VLAN-Routing unterstützen.
        Ist das so korrekt?

        Kann man dies umgehen, wenn man den VLAN-Tag von diesem Netzwerk entfernt?
        Meine Bedenken sind die, dass das Security Gateway unnötig ausgelastet wird, wenn man z.B. eine größere Sicherung auf das NAS kopiert.
        mfg
        Wolfgang

        Kommentar


          #5
          Hier unterscheiden sich nun oft Layer-2 zu Layer 3-Switch.
          Du benötigst hier dann Inter-VLAN routing, das heisst der Switch übernimmt die das Routing zwischen VLAN`s.
          Na mit 1G Wire-Speed kann man so ein Gateway schon ans schwitzen bekommen.
          Ausser du hast halt eine Policy die den Traffic nahezu Transparent durchreicht.

          kleines Brianstorming...
          Naja was du machen könntest.....du hast einen Port mit untagged VLAN-Computer und tagged VLAN-NAS.
          Dann könntest du nun per Powershell oder Script deine Netzwerkkarte für normal Betrieb ohne VLAN setzen lassen.
          Und für einen Backup-Job dann z.b. ein VLAN-TAG setzen lassen und dann mit TAG den Job laufen lassen und am Ende wieder zurück.
          Manche Netzwerkkarten erlauben auch auch virutelle Netzwerkkarten mit VLAN zu erstellen.
          Dann hätte dein Laptop 2 Netzwerkkarten...Standart ohne Tag und eine "virtuell" mit TAG.

          Kommentar


            #6
            Die Grundidee von VLAN's ist die Schaffung mehrerer Broadcast-Domains. Broadcasts sind Frames/IP-Pakete, welche von allen Geräten in einem Segment (VLAN) verarbeitet werden müssen, da erst nach dem "Sichten" des Paketinhaltes klar ist, ob man Empfänger des Frames/Paketes ist oder nicht. Je nach Durchmischung in einem Segment können Broadcasts problematisch sein, z.B. Geräte welche viele Broadcasts senden und Geräte, welche nur limitierte CPU-Power haben, können bei Letzteren zu Problemen bei der Abarbeitung der eigentlichen Aufgaben führen ...

            Mit steigender CPU-Leistung auch bei weniger gut ausgestatteten Geräten ist das Problem eher in den Hintergrund getreten.

            Die Segmentierung in VLAN's aus Sicherheitsgründen macht jedoch nur Sinn, wenn wenigstens eine Filter-Liste, besser eine echte Firewall zwischen den VLAN's existiert. Die Trennung nur durch Routing (ein L3-Switch ist kein Router und ein Router ist kein L3-Switch, macht für diese Segmentierung aber keinen Unterschied) bringt jedoch keinen Sicherheitsgewinn.

            Ein Router (reines L3-Element) kann in der Regel bis in den L4 filtern (also IP-Adressen sowieso und TCP/UDP-Ports). Diese Filter muss man aber in der Regel erst zusätzlich konfigurieren, von Haus aus geht normalerweise einfach alles durch.

            Eine Firewall kann zusätzlich noch durch Deep-Packet-Inspection Anomalien im (unverschlüsselten) Traffic (z.B. SQL-Injections in der http Kommunikation) entdecken und unterbinden. Bei verschlüsseltem Traffic muss aber auch eine Firewall die Segel streichen, wenn Sie nicht z.B. durch SSL-Interception die Verschlüsselung aufbricht und somit aber Teil der Kommunikation wird.
            Firewalls lassen in der Regel nur Traffic durch, welcher vorher definiert wurde ... eine "Permit-Any"-Rule macht aus einer Firewall beinahe einen dummen Router ... üblicherweise wird die Deep-Packet-Inspection nicht abgeschaltet, sodass ein gewisser Schutz erhalten bleibt.

            Lange Rede kurzer Unsinn: entweder eine Firewall (oder wenigstens einen Router) mit entsprechenden Filtern zwischen die Segmente (VLAN's) oder einfach sein lassen ...

            Das VLAN1 ist auf Switchen per default auf jedem Port drauf ... und wenn man die Konfig auf einem Port löscht, dann ist dort in der Regel auch wieder das VLAN 1 drauf. Daher "vermeidet" man das VLAN1 als Management-VLAN, weil sonst zufällig irgendwelche Ports plötzlich im (durch eine Firewall gesicherten) VLAN 1 landen ... ansonsten ist VLAN1 genauso sicher wie Vlan 4094 ...
            Gezielte Angriffe auf das VLAN1 sind technischer Unsinn, da das VLAN-Tag bestenfalls auf einer Gruppe von Switches existiert und ausserhalb garnicht nicht mehr existiert. Es gab mal ein paar böse Bugs bei namhaften Herstellern, welche sogenanntes VLAN-Hopping ermöglichten. Dabei wurden mehrer VLAN-Tags aneinander gehängt und der Switch strippte diese falsch auseinander sodass die Frames plötzlich im anderen VLAN auftauchten. Damit liessen sich jedoch nur DOS-Attacken ausführen, weil der Rückweg ja nur durch ebensolches VLAN-Hopping möglich war ... und das ist seit ein paar Jahren gefixt ...

            Ich verwende übrigens das VLAN TAG gerne im 3. Oktett des IP-Subnetzes ... als VLAN 1 = x.y.1.z und vlan 255 = x.y.255.z ... aber den Routern/Switches ist das im Prinzip völlig Wurst, die machen, was man Ihnen vorgibt ...

            Zitat von eraser
            Interessant wäre es ja noch, dass Geräte, die eine Internetverbindung brauchen, die anderen Geräte im gleichen VLAN nicht sehen können.
            Auch dieses Feature gibt es im professional Bereich ... nennt sich privat VLAN ... aber das hier zu erklären ...

            Zitat von eraser
            Angenommen ich habe in einem VLAN einen Computer und ein NAS.
            Wenn ich nun Daten zwischen den beiden transferiere, dann laufen die Daten anscheinend nicht direkt beim Switch von Port zu Port, sondern erst den Umweg über das Security Gateway, da anscheinend die Unifi-Switches keine Layer 3-Switch sind und somit auch kein direktes VLAN-Routing unterstützen.
            Ist das so korrekt?

            Kann man dies umgehen, wenn man den VLAN-Tag von diesem Netzwerk entfernt?
            Meine Bedenken sind die, dass das Security Gateway unnötig ausgelastet wird, wenn man z.B. eine größere Sicherung auf das NAS kopiert.
            Willst du es sicher haben oder schnell? Schnell geht es ohne Umweg (ggfs. je nach L3-Switch auch mit einfachen Filter-Rules), wirklich sicher aber nur mit Umweg. Wenn schnell & richtig sicher, dann muss das "Security Gateway" (die Firewall) eben entsprechend ausgelegt werden ... und wenn deine Backups in der Nacht um 1 Uhr anfangen (wenn jeder normale Mensch schläft) dann ist es auch egal, ob das Backup via Firewall 1h mehr oder weniger braucht ...

            Grüsse

            efes
            Zuletzt geändert von fasi; 22.01.2019, 21:46. Grund: und noch ein paar Ergänzungen

            Kommentar


              #7
              Danke für euren ausführlichen Kommentare dazu.

              Ich hab das mit der VLAN-Aufteilung insbesondere bzgl. VLAN 1 abgeändert.


              192.168.0.0/24 - WAN - Router zu Security Gateway
              192.168.1.0/24 - VLAN 10 - Security Gateway+Switch+AP+Drucker
              192.168.2.0/24 - VLAN 20 - Geräte mit Internet
              192.168.3.0/24 - VLAN 30 - Geräte ohne Internet
              192.168.4.0/24 - VLAN 40 - Kamera
              192.168.5.0/24 - VLAN 50 - Pool
              192.168.6.0/24 - VLAN 60 - User 1
              192.168.7.0/24 - VLAN 70 - User 2
              192.168.10.0/24 - VLAN 100 - Gast

              Info am Rande:
              Das Netz "WAN" hab ich nur für mich derweil so benannt, da es am WAN-Port des Security Gateway hängt.
              Das ist eine direkte Verbindung vom USG (Security Gateway) zum 4G-Router => Doppel-NAT.
              Leider kann der 4G-Router nicht in den Bridge-Modus geschaltet werden.
              Durch Anpassungen am USG funktioniert aber jetzt trotz dessen DynDNS und der VPN-Zugriff von außen.
              mfg
              Wolfgang

              Kommentar


                #8
                Zitat von fasi Beitrag anzeigen
                Daher "vermeidet" man das VLAN1 als Management-VLAN
                Prinzipielle Frage:
                Wäre es ein Nachteil, wenn das Management-Netzwerk ohne VLAN-Tag erstellt wird?

                Folgender Aufbau zum Beispiel:
                192.168.0.0/24 - kein VLAN - Security Gateway+Switch+AP+Drucker
                192.168.1.0/24 - VLAN 10 - Geräte mit Internet
                192.168.2.0/24 - VLAN 20 - Geräte ohne Internet
                192.168.3.0/24 - VLAN 30 - Kamera
                192.168.4.0/24 - VLAN 40 - Pool
                192.168.5.0/24 - VLAN 50 - User 1
                192.168.6.0/24 - VLAN 60 - User 2
                192.168.10.0/24 - VLAN 100 - Gast

                Die einzelnen Netze werden durch die Firewall getrennt und eine Kommunikation untereinander unterbunden.
                Die einzigen erlaubten Verbindungen sind ein paar vorangestellte Firewall-Regeln, die den Zugriff auf einzelne Geräte wie Drucker, RAID, Multiroom, usw. erlauben, aber nicht direkt auf das ganze Netzwerk. (z.B. Netz 192.168.5.0/24 darf auf 192.168.0.180 zugreifen).

                Gäbe es hierbei dann Gründe/Vorteile, wenn man dem Netzwerk 192.168.0.0/24 doch ein VLAN-Tag gibt?

                Danke
                mfg
                Wolfgang

                Kommentar


                  #9
                  Die Definition "kein VLAN" ist auf einem Switch so nicht zulässig. VLAN-ID's gibt es im Bereich 1-4094 (mit ein paar Ausnahmen von 1002-1005, welche als legacy ID's für alten Krams immer noch reserviert sind) und jeder einfache Port muss einer dieser VLAN-ID zugeordnet sein. Das hat aber noch nix mit dem VLAN-Tag zu tun. "Kein VLAN" gibt es nur auf Switches, welche unmanaged sind und diese müssten theoretisch auch Frames länger als 1500 Bytes (mit TAG) verwerfen (was heute aber nicht mehr alle tun, sondern diese einfach weiterleiten). Solche Switches dürfen an einem VLAN-fähigem Switch aber nicht an einen Trunk-Port angeschlossen werden, weil es sonst zu unfreiwilligen Netzwerk-Loops kommen kann.

                  Das VLAN-Tag im Ethernet-Frame spielt erst eine Rolle, wenn man Switches kaskadiert (also ein L2-Netzwerk aufbaut) oder zu einem Device mehr als 1 VLAN braucht (z.B. einen Host für virtualisierte Maschinen in verschiedenen VLAN's oder wie in deinem Fall zu einer Firewall welche das Default-Gateway in mehrerer VLAN's ist).

                  Das VLAN-Tag ist ein 4Byte Kombi-Tag 802.1p/Q wobei 2 Byte das Tag selbst kennzeichen, der Teil 802.1p (3bit) für Informationen zur Priorisierung von Paketen genutzt wird und der Teil 802.1Q (12bit=2^12=4096) die VLAN-Information (also das VLAN-Tag) enthält und diese beiden kommen immer zusammen. (1bit habe ich noch unterschlagen , dessen Bedeutung hat mal geändert seit der Einführung des TAG's, aber das kannst du selber ergooglen ...)

                  Für das Default-VLAN auf einem Trunk-Port (könnte in deinem Fall für das Subnetz 192.168.0.0/24 gelten) benötigt man kein TAG, aber das Default-VLAN ist nicht "kein VLAN" sondern hat im Switch irgendeine ID im obengenannten Bereich. Damit entsteht (zumindestens theoretisch) eine Lücke für Frames im Default-VLAN für die Priorisierungsinformationen des 802.1p-Teils ... daher kann man auch solche Frames mit einem 802.1p/Q-TAG versehen und dort die VLAN-ID "0" verwenden ... aber auch diese ist nicht gleichzusetzen mit "kein VLAN", weil auch diese Frames müssen immer auf dem Switch in einem VLAN (dem Port default VLAN) terminiert werden.

                  Auf allen Interfaces wo nur EIN Vlan verwendet wird (üblicherweise auf Interfaces zu Endgeräten) ist eine Verwendung des TAG in der Regel nicht notwendig oder gar falsch (weil die Endgeräte keine 802.1p/Q Tags verstehen und diese Frames verwerfen würden) ... Ausnahme man benötigt wirklich 802.1p, dann muss das aber eben auch das Endgerät unterstützen ... braucht heute aber eigentlich keiner mehr und auch 802.1p ist im Prinzip bedeutungslos geworden, da moderne Switches in der Regel die Priorisierungsinformationen aus dem L3-Header (IP-Header) auswerten können.

                  Du musst also auch deinem "kein VLAN" eine Switch-interne VLAN-ID zuordnen und kannst dann aber auf dem Trunk zur Firewall dieses zum "Trunk native VLAN" machen und dort das TAG weglassen oder mit dem VLAN-Tag 0 versehen. Du musst nur das gleiche auf der Firewall machen, sonst klappt es nicht.

                  Da jedes Oktett einer IP-Adresse nur von 0-255 geht (8bit) kannst du also jede beliebige VLAN-ID oberhalb 255 nehmen und wirst immer noch jedes zukünftige Subnet in den Bereich bis 255 unterbringen können. Die Zuordnung Subnet <-> VLAN-ID ist absolut willkürlich, du kannst dort machen, was du willst ...

                  Grüsse

                  efes

                  Kommentar


                    #10
                    VLAN 0 spielt in oben genanntem Fall keine Rolle.
                    VLAN 0 ist ein reserviertes VLAN, das kann, darf und soll man nirgendwo vergeben.

                    Wie fasi richtig beschrieben hat gibt es kein "kein VLAN". In der Regel kommst Du mit den VLAN-Tags selbst auch gar nicht in Berührung. Du konfigurierst die Switchports nach Anforderung der Geräte, und der Rest erledigt Dein Switch.

                    Kommentar


                      #11
                      Danke für die Aufklärung mit "kein VLAN".
                      Das entscheidende Detail für mich war
                      Zitat von fasi Beitrag anzeigen
                      Default-VLAN ist nicht "kein VLAN" sondern hat im Switch irgendeine ID im obengenannten Bereich.

                      Muss ich jetzt mal probieren, wie sich da das Netzwerk verhält, wenn man bei einem VLAN keine VLAN-ID angibt (also intern eine ID vergeben wird), ob der Traffic dann innerhalb dieses Netzes physikalisch auch immer über das Gateway geleitet wird oder direkt davor über den Switch geschaltet wird, obwohl dieser kein VLAN-Routing unterstützt.

                      Wenn das "kein VLAN"-Netz intern auch eine VLAN-Nummer hat und der Switch kein VLAN-Routing unterstützt, dann müsste der Datenverkehr innerhalb dieses Netzwerks eigentlich trotzdem immer über das Gateway laufen.
                      Es sei denn, es gibt bei den Switches ein "abgespecktes" VLAN-Routing, dass aber irgendwie nur auf interne VLAN's bezogen ist (z.B. wenn man keine VLAN-ID angibt).
                      Irgendetwas in dieser Art muss der Switch aber können, ansonsten würde der Switch im Betrieb ohne Gateway ja nicht funktionieren??

                      In meinem Fall geht es dabei um den Switch "Unifi US-24":
                      https://dl.ubnt.com/datasheets/unifi...4_US-48_DS.pdf

                      Muss ich einfach mal testen, nur wären zusätzlich dazu die Theorie bzw. die Fakten dahinter interessant.

                      Danke
                      Zuletzt geändert von Eraser; 13.02.2019, 06:16.
                      mfg
                      Wolfgang

                      Kommentar


                        #12
                        Habe bei Unifi etwas zum Thema "kein VLAN" gefunden:

                        The default physical LAN interface's network is, by default, using untagged VLAN 1.
                        mfg
                        Wolfgang

                        Kommentar


                          #13
                          Das sich Clients untereinander nicht sehen können sollen heißt bei Unifi "port isolation" und ist möglich.

                          Kommentar


                            #14
                            Zitat von Haukee Beitrag anzeigen
                            Das sich Clients untereinander nicht sehen können sollen heißt bei Unifi "port isolation" und ist möglich.
                            OK danke, werd ich mir mal anschauen.
                            mfg
                            Wolfgang

                            Kommentar


                              #15
                              Uiuiui ... hier werden wild Dinge durcheinander geworfen, die nix miteinander zu tun haben.

                              Ein VLAN ist eine ISO/OSI Layer 2 Separierung und hat grundsätzlich nix mit (Inter-VLAN) Routing zu tun ... Routing findet im Layer 3 statt und verbindet verschiedene Subnetze.

                              Ein VLAN separiert simpel gesagt MAC-Adressen (Layer 2). Ein Subnetz separiert IP-Adressen (Layer 3). Man kann zumindestens theoretisch in einem VLAN mehrere Subnetze haben ... aber wenn man nicht genau weiss, was man macht, sollte man es lieber lassen.

                              Im Grunde genommen ist der Begriff Inter-VLAN-Routing völlig irreführend, weil Routing niemals zwischen VLAN's sondern immer zwischen Subnetzen stattfindet. Dem Router ist dabei das VLAN völlig egal, während dem Switch das Subnetz völlig egal ist, weil jeder nur in seinem ISO/OSI-Layer schaut.

                              Ein L3-Switch (ich kenne die Unify-Produkte nicht, aber vermutlich ist das referenzierte Produkt ein L3-Switch) ist eine Kombination aus einem Switch und einem Router und KANN je nach Konfiguration zwischen den Subnetzen in verschiedenen VLAN's routen ... MUSS er aber nicht.

                              Dabei wird in jedem VLAN ein "virtuelles" L3-Interface konfiguriert (das eine eigene MAC-Adresse im jeweiligen VLAN mitbringt) und dann kann zwischen diesen L3-Interface geroutet werden. Dabei dürfen die Subnetze in den VLAN's aber nicht identisch oder überlappend sein, sonst gibt komische Effekte.

                              Am einfachsten stellt man sich ein VLAN wie einen eigenständigen physischen Switch vor (ganz ohne ID's und TAG's und den ganzen Krams). Alle Geräte an einem Switch können im Layer2 miteinander ungehindert kommunizieren. Damit diese auch im L3 miteinander kommunizieren können, müssen die Geräte jedoch ZUSÄTZLICH auch im selben Subnetz sein. Ein Gerät am selben Switch (im selben VLAN) in einem anderen Subnetz kann nicht mitreden! (zumindestens wenn's um IP-Kommunikation geht)

                              Habe ich auf dem 2. Switch alle Geräte im selben Subnetz konfiguriert wie auf dem 1. Switch, dann "bridge" ich zwischen die beiden Switches (ich hänge einfach ein Kabel zwischen rein, den Rest machen die 2 Switches dann per default schon selber, aber auch da kann man noch gaaaanz viel drin rumkonfigurieren)

                              Habe ich UNTERSCHIEDLICHE Subnetze konfiguriert, dann können die Geräte am Switch 1 immer noch nicht mit denen vom Switch 2 kommunizieren ... hier muss ich einen Router mit 2 Interfaces haben, ein Interface kommt an Switch 1 und ein Interface an Switch 2 ... logisch das jedes Interface eine IP-Adresse aus dem jeweiligen Subnetz bekommt.

                              Der Router (und jedes andere Device im Subnetz auch) lernt dank ARP die Zuordnung MAC-Adresse<->IP-Adresse und speichert die für einen gewissen Zeitraum zwischen. Das Default-Gateway ist dann der Router, denn der kennt eben noch das andere Netz. Jedes Gerät im Subnetz schickt alle Pakete für ausserhalb des eigenen Subnetzes einfach zum Default-Gateway (an dessen MAC-Adresse! ... in der Hoffnung, dass dieses dann schon weiss, wohin das muss). Für alle anderen Geräte im eigenen Subnetz schickt er es an die per ARP aufgelöste MAC-Adresse.

                              Und jetzt vereinst du im Kopf alle 3 Geräte in einem Gerät und hast banal ausgedrückt ein L3-Switch. Der L3-Switch macht dann schon noch ein bissl mehr als diese Kombination, aber für die einfach Vorstellung sollte das reichen. Und erst jetzt kommt die VLAN-ID in's Spiel. Der Switch speichert die MAC-Adressen jedes VLAN's in einer separaten Tabelle und lässt Kommunikation nur zwischen den Adressen in einer Tabelle zu ... und die Tabellen haben dann die VLAN-ID's ... "kein VLAN" währe also "keine Tabelle" und das geht nunmal nicht ... per default landet eben alles im VLAN1=Tabelle1 ...

                              Im Prinzip könnte man man jetzt einfach Tabelle1&Tabelle2 miteinander kombinieren, und alle Host in beiden VLAN's können miteinander kommunizieren, so Sie denn im selben Subnetz wären ... aber dann brauche ich auch keine 2 Tabellen mehr, weil ein Filter auf diesem Level macht kaum noch Sinn. Also habe ich dann 2 unterschiedliche Subnetze und dann brauche ich sowieso wieder einen Router ...

                              Eine Firewall (dein Secure Gateway) spielt in diesem Zusammenang einen Router mit Filter-Listen (Subnetz A darf mit B kommunizieren, aber nicht mit Subnetz C, welches wiederum mit D darf und D darf dann wieder mit A usw. usf.) Damit die Firewall das aber tun kann, MUSS Sie im Routing-Pfad zwischen allen (zu trennenden) Subnetzen sein (ja es gibt auch L2-Firewalls, da stimmt dann diese Aussage nicht mehr) ... im einfachsten Fall ist Sie das Default-Gateway und das ist für den Heimgebrauch in der Regel ausreichend. Dann darf der Switch aber KEIN eigenes Interface in den jeweiligen Subnetzen/VLAN's haben. Subnetze die uneingeschränkt miteinander kommunizieren dürfen, KÖNNEN das gerne auch via "Inter-VLAN Routing" tun. Wenn du das jetzt aber miteinander kombinieren willst (also 2 Subnetze auf dem Switch und 2 auf der Firewall), müssen die Firewall und der L3-Switch jedoch wissen, dass es jeweils noch einen anderen Router gibt, über welchen noch weitere Subnetze zu erreichen sind ... es braucht also entweder statische Routen oder ein Routing-Protokoll, mit dessen Hilfe sich die beiden Router über ihre jeweiligen Subnetze austauschen können ...

                              Also um es einfach zu halten, lass den Switch switchen und mach die Firewall zum Default-Gateway in jedem Subnetz und fertig ... sonst suchst du dich dumm und dämlich, warum es nicht funktioniert.

                              Das Feature "Port Isolation" sagt mir jetzt so nix ... jeder Hersteller nennt seine Features irgendwie anders. Es klingt nach Private-VLAN und das wäre dann L2 Feature.. Dabei darf dieser "isolierte" Port nur mit dem Default-Gateway in seinem Subnetz/VLAN komunizieren, NICHT aber mit allen anderen Ports im selben Subnetz/VLAN ... das Feature hat schon seine Berechtigung, wenn man Hosts voneinander total isolieren, aber nicht jedem ein eigenes Subnetz spendieren will, jeder aber z.B. in's Internet kommunizieren können soll, aber wozu man das im privaten Umfeld brauchen sollte ...

                              Grüsse

                              efes
                              Zuletzt geändert von fasi; 14.02.2019, 00:00.

                              Kommentar

                              Lädt...
                              X