13
Lancom 8011VPN HP ProCurve 4108gl Vlans internet
Hi,
folgendes Problem:
Ich habe einen Router: Lancom 8011 VP und einen HP ProCurve 4108 gl mit 3 10/100 Modulen (24Ports), ein Modul um den Switch mit 3 anderen entfernten (aber im gleichen Gebäude befindlichen Switches) zu verbinden.
Der Lancom hat 4 ETH Ports, ein WAN und ein ISDN.
Hauptproblem ist derzeit, dass ich auf dem Switch 5 Vlans habe:
Vlan 1 - Default VLAN(ID 1)
Vlan 2 - Anwender (ID 350)
Vlan 3 - System (ID 66)
Vlan 4 - Verwaltung (ID 784)
Im System Vlan befinden sich die Server und auch der Zugriff auf die Switche zum Konfigurieren (Weiß nicht mal, ob das so Sinn ergibt^^)
Benutzer aus dem Vlan 2 sollen Zugriff auf die Server haben und aufs Internet, aber nicht auf Vlan 3,4
Benutzer aus Vlan 4 sollen Zugriff auf die Server haben und aufs Internet, aber nicht auf Vlan 2,3
Benutzer aus Vlan 3 (nur ich) sollen Zugriff auf alle Vlans haben und aufs Internet
Wie genau muss ich das nun konfigurieren?
Würde mich sehr über ein paar Antworten freuen.
Ach ja: Zwischen den Router und den Computern(allen) soll noch eine Astaro gesetzt werden zwecks Urlfilterung etc. pp, der dann als Proxy fungieren soll.
LG und Dank im Voraus
folgendes Problem:
Ich habe einen Router: Lancom 8011 VP und einen HP ProCurve 4108 gl mit 3 10/100 Modulen (24Ports), ein Modul um den Switch mit 3 anderen entfernten (aber im gleichen Gebäude befindlichen Switches) zu verbinden.
Der Lancom hat 4 ETH Ports, ein WAN und ein ISDN.
Hauptproblem ist derzeit, dass ich auf dem Switch 5 Vlans habe:
Vlan 1 - Default VLAN(ID 1)
Vlan 2 - Anwender (ID 350)
Vlan 3 - System (ID 66)
Vlan 4 - Verwaltung (ID 784)
Im System Vlan befinden sich die Server und auch der Zugriff auf die Switche zum Konfigurieren (Weiß nicht mal, ob das so Sinn ergibt^^)
Benutzer aus dem Vlan 2 sollen Zugriff auf die Server haben und aufs Internet, aber nicht auf Vlan 3,4
Benutzer aus Vlan 4 sollen Zugriff auf die Server haben und aufs Internet, aber nicht auf Vlan 2,3
Benutzer aus Vlan 3 (nur ich) sollen Zugriff auf alle Vlans haben und aufs Internet
Wie genau muss ich das nun konfigurieren?
Würde mich sehr über ein paar Antworten freuen.
Ach ja: Zwischen den Router und den Computern(allen) soll noch eine Astaro gesetzt werden zwecks Urlfilterung etc. pp, der dann als Proxy fungieren soll.
LG und Dank im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 122357
Url: https://administrator.de/contentid/122357
Printed on: April 26, 2024 at 04:04 o'clock
13 Comments
Latest comment
Frage: Wer macht das Routing ??
Ist der HP Switch ein Layer 3 Switch und routet zwischen den VLANs oder macht das der Lancom Router ??
Wie du hier auf Seite 2 links unten:
http://www.procurve.com/products/pdfs/datasheets/ProCurve_Switch_4100gl ...
sehen kannst supported der HP 4108 auch Layer 3 und damit Routing !?
So oder so ist die Lösung kinderleicht:
Du definierst stinknormale Accesslisten auf dem Routerport, der den Zugriff unter den VLANs gemäss deiner Regel kontrolliert !
Der Punkt mit der Astaro klingt diffus...? Was meinst du mit der komischen Beschreibung "Urfilterung" was soll das komisches sein ??
Hat die Astaro Firewall auch 4 Port (für die 4 VLANs) ??? Dann wäre der Lancom ja so oder so überflüssig sofern denn der Switch nicht eh schon routet ?
Da musst du also noch mal etwas Licht ins Dunkel bringen für einen sinnvolle und hilfreiche Antwort
Ist der HP Switch ein Layer 3 Switch und routet zwischen den VLANs oder macht das der Lancom Router ??
Wie du hier auf Seite 2 links unten:
http://www.procurve.com/products/pdfs/datasheets/ProCurve_Switch_4100gl ...
sehen kannst supported der HP 4108 auch Layer 3 und damit Routing !?
So oder so ist die Lösung kinderleicht:
Du definierst stinknormale Accesslisten auf dem Routerport, der den Zugriff unter den VLANs gemäss deiner Regel kontrolliert !
Der Punkt mit der Astaro klingt diffus...? Was meinst du mit der komischen Beschreibung "Urfilterung" was soll das komisches sein ??
Hat die Astaro Firewall auch 4 Port (für die 4 VLANs) ??? Dann wäre der Lancom ja so oder so überflüssig sofern denn der Switch nicht eh schon routet ?
Da musst du also noch mal etwas Licht ins Dunkel bringen für einen sinnvolle und hilfreiche Antwort
Ok ich versuchs mal 
Ja, Routing unterstützt der Router, aber so wie ich das verstanden habe routet er dann auch in alle VLans.
Prinzipiell logisch mit den ACLs, aber ich definiere z.B. ein Netz, meinetwegen für die Anwender aus Vlan 350. Diese sollen nicht auf Vlan 784 zugreifen können, aber das regel ich doch über IP Adressen und sonst nichts? Das heißt, wenn ein Anwender aus dem 350er VLan seine IP ändert auf die des 784er Vlans kann er darauf zugreifen.
Im Moment habe ich es so gelöst:
Ich habe an dem Router für jedes Netz ein Ip-Netzwerk definiert. In jedem dieser Netzwerke hat der Router nun seine eigene IP, den die Benutzer als Gateway benutzen.
Kommunikation untereinander geht auch nicht mehr.
Ich weiß nur noch nicht, wie ich das mit der Astaro umsetze oder ggf. ganz anders regel. Der Router hat leider keinen URL - Filter, sprich was dürfen die User nicht besuchen, und dafür wollte ich die Astaro benutzen, weil die einen integrierten URL Filter hat.
LG und Danke
Edit: Aqui: Ich bin gerade auf diesen Thread hier von dir gestoßen bzw. wo du geantwortet hast: Einen trunk Port (dot1q) über Wireshark monitoren, was sieht man was nicht?
Ich habe mir gerade folgendes überlegt, was ich noch nicht getestet habe:
Ich habe einen ESXi 4.0 laufen der im Vlan 66 ist. Die darauf installierten Server 2008 (File, Mail, Apps) liegen aber im Adressbereich des Vlan 350. Theoretisch dürften die Benutzer des Vlan 350 aber kein Zugriff auf den Server haben, so wie die Benutzer des Vlan 784. Nach dem anderen Beitrag zu urteilen gibt es die Möglichkeit einer Trunkingfähigen Netzwerkkarte, sprich könnte ich damit ermöglichen, dass die Nutzer aller Vlans auf den Server zugriff Bekommen? ich versuche das mal aufzuzeichnen...
http://mtprojects.de/struktur.JPG
Ja, Routing unterstützt der Router, aber so wie ich das verstanden habe routet er dann auch in alle VLans.
Prinzipiell logisch mit den ACLs, aber ich definiere z.B. ein Netz, meinetwegen für die Anwender aus Vlan 350. Diese sollen nicht auf Vlan 784 zugreifen können, aber das regel ich doch über IP Adressen und sonst nichts? Das heißt, wenn ein Anwender aus dem 350er VLan seine IP ändert auf die des 784er Vlans kann er darauf zugreifen.
Im Moment habe ich es so gelöst:
Ich habe an dem Router für jedes Netz ein Ip-Netzwerk definiert. In jedem dieser Netzwerke hat der Router nun seine eigene IP, den die Benutzer als Gateway benutzen.
Kommunikation untereinander geht auch nicht mehr.
Ich weiß nur noch nicht, wie ich das mit der Astaro umsetze oder ggf. ganz anders regel. Der Router hat leider keinen URL - Filter, sprich was dürfen die User nicht besuchen, und dafür wollte ich die Astaro benutzen, weil die einen integrierten URL Filter hat.
LG und Danke
Edit: Aqui: Ich bin gerade auf diesen Thread hier von dir gestoßen bzw. wo du geantwortet hast: Einen trunk Port (dot1q) über Wireshark monitoren, was sieht man was nicht?
Ich habe mir gerade folgendes überlegt, was ich noch nicht getestet habe:
Ich habe einen ESXi 4.0 laufen der im Vlan 66 ist. Die darauf installierten Server 2008 (File, Mail, Apps) liegen aber im Adressbereich des Vlan 350. Theoretisch dürften die Benutzer des Vlan 350 aber kein Zugriff auf den Server haben, so wie die Benutzer des Vlan 784. Nach dem anderen Beitrag zu urteilen gibt es die Möglichkeit einer Trunkingfähigen Netzwerkkarte, sprich könnte ich damit ermöglichen, dass die Nutzer aller Vlans auf den Server zugriff Bekommen? ich versuche das mal aufzuzeichnen...
http://mtprojects.de/struktur.JPG
.
"Prinzipiell logisch mit den ACLs, aber ich definiere z.B. ein Netz, meinetwegen für die Anwender aus Vlan 350. Diese sollen nicht auf Vlan 784 zugreifen können, aber das regel ich doch über IP Adressen und sonst nichts?.."
Ja genau, das regelt man mit IP ACLs.
Angenommen dein 350 VLAN hat das IP Netz 172.16.35.0 /24 und dein 784er VLAN das Netz 172.17.84.0 /24 und das L3 Switchbein bzw. dessen IP im VLAN 350 ist die 172.16.35.254.
Da konfigurierst du auf diesem Interface folgende ACL:
access-list no_vlan784 deny ip 172.16.35.0 0.0.0.255 172.17.84.0 0.0.0.255
access-list no_vlan784 permit ip any any
und fertig bist du !
"..Das heißt, wenn ein Anwender aus dem 350er VLan seine IP ändert auf die des 784er Vlans kann er darauf zugreifen..."
Da hast du wohl den tieferen Sinn und die Funktion von VLANs nicht richtig verstanden, oder ??
VLAN 350 und 784 sind auf dem Switch physisch vollkommen getrennt. Sie können (sofern vorhanden) nur über den switchinternen IP Router kommunizieren.
Gesetzt den Fall deine Annahme würde stimmen und einer vergibt sich die 172.17.84.100 im 350er VLAN kann er damit NICHT mit dem VLAN 784 kommunizieren, denn sein Port an dem an dranhängt ist ja immer noch ein Port der dem VLAN 350 zugeordent ist !! in der Switchkonfig. Folglich hat er also keinerlei physische Verbindung mit dem VLAN 784 und diese IP nützt ihm rein gar nix.
Dazu müsste er ja erst über die Switchkonfig den Port dem VLAN 784 zuordnen und das weisst du als verantwortungsvoller Netzwerkadmin ja sicher zu verhindern, oder ??
Dieser Verdacht von dir ist also Blödsinn !!
Den Rest hast du ja nun auch richtig gemacht wie man es bei Layer 3 VLANs auch macht.
Die Astaro kannst du doch ganz einfach einbinden.
Du erzeugst ein weiteres VLAN 33 name Internet mit einem weiteren IP Netz z.B. 172.16.33.0 /24 weist dem einen Port zu und hängst das LAN Interface der Astaro dort rein. Dann gibst du der Astaro auf dessen internen Interface das du mit dem Switch vlan 33 verbunden hast die IP 172.16.33.1 und dem Switch dann die 172.16.33.254.
Auf dem Switch legst du jetzt eine default Route an:
ip route 0.0.0.0 0.0.0.0 172.16.33.1
Fertig !
Am externen Interface der Astaro schliesst du nun dein Internet Router an.
Damit kannst du auf der Astaro nun sämtlichen Traffic aus allen VLAN überwachen und steuern !
"Prinzipiell logisch mit den ACLs, aber ich definiere z.B. ein Netz, meinetwegen für die Anwender aus Vlan 350. Diese sollen nicht auf Vlan 784 zugreifen können, aber das regel ich doch über IP Adressen und sonst nichts?.."
Ja genau, das regelt man mit IP ACLs.
Angenommen dein 350 VLAN hat das IP Netz 172.16.35.0 /24 und dein 784er VLAN das Netz 172.17.84.0 /24 und das L3 Switchbein bzw. dessen IP im VLAN 350 ist die 172.16.35.254.
Da konfigurierst du auf diesem Interface folgende ACL:
access-list no_vlan784 deny ip 172.16.35.0 0.0.0.255 172.17.84.0 0.0.0.255
access-list no_vlan784 permit ip any any
und fertig bist du !
"..Das heißt, wenn ein Anwender aus dem 350er VLan seine IP ändert auf die des 784er Vlans kann er darauf zugreifen..."
Da hast du wohl den tieferen Sinn und die Funktion von VLANs nicht richtig verstanden, oder ??
VLAN 350 und 784 sind auf dem Switch physisch vollkommen getrennt. Sie können (sofern vorhanden) nur über den switchinternen IP Router kommunizieren.
Gesetzt den Fall deine Annahme würde stimmen und einer vergibt sich die 172.17.84.100 im 350er VLAN kann er damit NICHT mit dem VLAN 784 kommunizieren, denn sein Port an dem an dranhängt ist ja immer noch ein Port der dem VLAN 350 zugeordent ist !! in der Switchkonfig. Folglich hat er also keinerlei physische Verbindung mit dem VLAN 784 und diese IP nützt ihm rein gar nix.
Dazu müsste er ja erst über die Switchkonfig den Port dem VLAN 784 zuordnen und das weisst du als verantwortungsvoller Netzwerkadmin ja sicher zu verhindern, oder ??
Dieser Verdacht von dir ist also Blödsinn !!
Den Rest hast du ja nun auch richtig gemacht wie man es bei Layer 3 VLANs auch macht.
Die Astaro kannst du doch ganz einfach einbinden.
Du erzeugst ein weiteres VLAN 33 name Internet mit einem weiteren IP Netz z.B. 172.16.33.0 /24 weist dem einen Port zu und hängst das LAN Interface der Astaro dort rein. Dann gibst du der Astaro auf dessen internen Interface das du mit dem Switch vlan 33 verbunden hast die IP 172.16.33.1 und dem Switch dann die 172.16.33.254.
Auf dem Switch legst du jetzt eine default Route an:
ip route 0.0.0.0 0.0.0.0 172.16.33.1
Fertig !
Am externen Interface der Astaro schliesst du nun dein Internet Router an.
Damit kannst du auf der Astaro nun sämtlichen Traffic aus allen VLAN überwachen und steuern !
Nur um kurz eines klar zu stellen Den Sinn von VLans habe ich verstanden. Die "Vermutung", dass wenn sich der Nutzer eines Vlans eine IP des anderen VLans gibt, auf das andere VLAN zugreifen kann ist keine Vermutung, sondern mit meiner genannten Konstellation leider bittere Tatsache , weil der Router die beiden VLans routet. Das das nicht der Sinn sein soll ist klar, aber ich habe es bisher noch nicht anders hinbekommen.
Daran hängt es ja momentan auch.
Ich weiß nicht, wie ich den Router bzw. dessen Ports konfigurieren soll, dass er nur das betroffene VLAN ins www routet und nicht in andere Netze.
Dabei ist dann denke ich aber wieder die Problematik, dass ich die Server die in einem Vlan sind natürlich aus dem anderen auch nicht mehr erreichen kann.
Oder zumindest wüsste ich derzeit nicht wie ich es mit diesen vorhandenen Komponenten umsetzen soll.
Das mit der Astaro werde ich mal zu gegebenen Zeitpunkt versuchen.
Lieben Dank für deine Mühen
Den Sinn von VLans habe ich verstanden. Die "Vermutung", dass wenn sich der Nutzer eines Vlans eine IP des anderen VLans gibt, auf das andere VLAN zugreifen kann ist keine Vermutung, sondern mit meiner genannten Konstellation leider bittere Tatsache , weil der Router die beiden VLans routet. Das das nicht der Sinn sein soll ist klar, aber ich habe es bisher noch nicht anders hinbekommen.Daran hängt es ja momentan auch.
Ich weiß nicht, wie ich den Router bzw. dessen Ports konfigurieren soll, dass er nur das betroffene VLAN ins www routet und nicht in andere Netze.
Dabei ist dann denke ich aber wieder die Problematik, dass ich die Server die in einem Vlan sind natürlich aus dem anderen auch nicht mehr erreichen kann.
Oder zumindest wüsste ich derzeit nicht wie ich es mit diesen vorhandenen Komponenten umsetzen soll.
Das mit der Astaro werde ich mal zu gegebenen Zeitpunkt versuchen.
Lieben Dank für deine Mühen
.
"...auf das andere VLAN zugreifen kann ist keine Vermutung, sondern mit meiner genannten Konstellation leider bittere Tatsache face-smile, weil der Router die beiden VLans routet.."
Sorry, aber mit Verlaub gesagt das ist Blödsinn !
Beispiel:
VLAN 350 Netz: 172.16.35.0 /24
Switch IP im VLAN 350: 172.16.35.254
Client im VLAN 350: 172.16.35.100, Gateway: 172.16.35.254
Client hängt am Port 10 mit folgender Switchkonfig:
vlan 350
ip address 172.16.35.254 255.255.255.0
name "Client"
untagged 10, 11, 12
exit
Also Standardkonfigso wie du es vermutlich eingerichtet hast.
Wenn der Client sich nun eine IP aus dem VLAN 784 gibt sagen wir mal 172.17.84.100 gibt, wie bitte sehr kann er dann mit dem VLAN 784 kommunizieren oder auch nur mit Geräten im VLAN 350 ??
Das ist völlig unmöglich, denn er ist mit einem Mal in einem vollkommenen anderen IP Netzwerk was eine Kommunikaton mit IP Adressen aus dem Bereich 172.16.35.0 vollkommen unmöglich macht und damit natürlich auch mit dem Switch Gateway ! Der Client könnte also niemals die IP Adresse 172.16.35.254 des Switches mehr erreichen um ins andere VLAN zu gelangen.
Abgesehen davon dürfte das niemals funktionieren, da er dann im selben IP Netz wäre und ein Routing gar nicht mehr stattfindet bzw. stattfinden kann.
Ganz abgesehen davon das er weiterhin in der abgeschlossenen Broadcast Domain des VLANs 350 und niemals physische Verbindung zum VLAN 784 hat, da der Port (10 in diesem Beispiel) fest dem VLAN 350 in der Switchkonfig zugeordnet ist. Eine physische Verbindung zum VLAN 784 ist technisch gar nicht gegeben. Das verhält sich wie 2 unterschiedliche Drähte !
Sorry, aber das zeigt das du den Sinn von VLANs scheinbar doch nicht wirklich verstanden hast, denn so eine Konstellation ist vollkommen unmöglich und kann so niemals bei korrekt konfiguriertem Switch eintreten.
Entweder hast du die Port Zuordnung nicht gemacht oder du hast ein sog. Backdoor Routing Interface über einen Server, falsche Subnetzmasken verwendet oder was auch immer.
Was du da erzählst gehört netztechnisch in die Welt der Märchen ! Vorausgesetzt man hat eine saubere Switchkonfig !!
"...auf das andere VLAN zugreifen kann ist keine Vermutung, sondern mit meiner genannten Konstellation leider bittere Tatsache face-smile, weil der Router die beiden VLans routet.."
Sorry, aber mit Verlaub gesagt das ist Blödsinn !
Beispiel:
VLAN 350 Netz: 172.16.35.0 /24
Switch IP im VLAN 350: 172.16.35.254
Client im VLAN 350: 172.16.35.100, Gateway: 172.16.35.254
Client hängt am Port 10 mit folgender Switchkonfig:
vlan 350
ip address 172.16.35.254 255.255.255.0
name "Client"
untagged 10, 11, 12
exit
Also Standardkonfigso wie du es vermutlich eingerichtet hast.
Wenn der Client sich nun eine IP aus dem VLAN 784 gibt sagen wir mal 172.17.84.100 gibt, wie bitte sehr kann er dann mit dem VLAN 784 kommunizieren oder auch nur mit Geräten im VLAN 350 ??
Das ist völlig unmöglich, denn er ist mit einem Mal in einem vollkommenen anderen IP Netzwerk was eine Kommunikaton mit IP Adressen aus dem Bereich 172.16.35.0 vollkommen unmöglich macht und damit natürlich auch mit dem Switch Gateway ! Der Client könnte also niemals die IP Adresse 172.16.35.254 des Switches mehr erreichen um ins andere VLAN zu gelangen.
Abgesehen davon dürfte das niemals funktionieren, da er dann im selben IP Netz wäre und ein Routing gar nicht mehr stattfindet bzw. stattfinden kann.
Ganz abgesehen davon das er weiterhin in der abgeschlossenen Broadcast Domain des VLANs 350 und niemals physische Verbindung zum VLAN 784 hat, da der Port (10 in diesem Beispiel) fest dem VLAN 350 in der Switchkonfig zugeordnet ist. Eine physische Verbindung zum VLAN 784 ist technisch gar nicht gegeben. Das verhält sich wie 2 unterschiedliche Drähte !
Sorry, aber das zeigt das du den Sinn von VLANs scheinbar doch nicht wirklich verstanden hast, denn so eine Konstellation ist vollkommen unmöglich und kann so niemals bei korrekt konfiguriertem Switch eintreten.
Entweder hast du die Port Zuordnung nicht gemacht oder du hast ein sog. Backdoor Routing Interface über einen Server, falsche Subnetzmasken verwendet oder was auch immer.
Was du da erzählst gehört netztechnisch in die Welt der Märchen ! Vorausgesetzt man hat eine saubere Switchkonfig !!
Ja, aber das ist ja das Problem, DASS es so funktioniert wie ich es oben schrieb, weil der Router unter den VLANS routet.
Ich weiß um den Sinn und die Funktion von VLANs, weil ich das schon desöfteren gemacht habe, aber mit anderen Geräten, aber der Router routet dazwischen. Ich habe es nun vereinzelt nur mit ACLs unterbunden, aber das ist Netzbezogen.
Ich glaube ja auch, dass du davon richtig Ahnung hast, aber du hast nicht verstanden, dass genau DAS mein Problem ist und ich genau das so will wie du schreibst und wie es sein soll, aber ich bekomms NICHT hin mit den Geräten hier
DAS ist das Problem ....
Ich weiß um den Sinn und die Funktion von VLANs, weil ich das schon desöfteren gemacht habe, aber mit anderen Geräten, aber der Router routet dazwischen. Ich habe es nun vereinzelt nur mit ACLs unterbunden, aber das ist Netzbezogen.
Ich glaube ja auch, dass du davon richtig Ahnung hast, aber du hast nicht verstanden, dass genau DAS mein Problem ist und ich genau das so will wie du schreibst und wie es sein soll, aber ich bekomms NICHT hin mit den Geräten hier
DAS ist das Problem ....
OK, langsam steigt man hinter dein Vorhaben. Du suchst eine Möglichkeit granularer zwischen den VLANs zu filtern...richtig ??
Fakt ist das sowie du Layer 3 Adressen als IPs in die VLANs konfigurierst der Switch erstmal transparent routet zwischen den VLANs, das ist klar.
Filtern oder bestimmte Dienste (TCP/UDP Ports) kannst du dann mit den Accesslisten des Switches auch ebenfalls nur IP oder Port bezogen einrichten, das ist auch Fakt.
Es gibt also nur wie du richtig beschreibst eine Filterfunktion nur auf IP Adress oder TCP/UDP Portbasis...auch das ist richtig wenn man nur den Switch gbetrachtet.
Weitere Möglichkeiten hast du de facto NICHT mit dem Switch !!! Ein solcher Switch ist ein Layer 3 (Routing) Device, sieht also nur auf den Layer 3 und sonst nichts ! Logisch das dort dann die Filtermöglichkeiten ausgeschöpft sind...da hast du Recht !
Filtern auf Anwendungsebene wie URLs usw. kannst du folglich nur mit einer Firewall niemals aber mit dem Switch selber !
Was aber trotzdem unverständlich ist, ist die Tatsache das ja alle deine VLANs zentral über die Firewall ins Internet gehen bzw. gehen sollten.
Normalerweise richtet man dafür am Switch zusätzlich ein Internet VLAN ein, hängt die Firewall mit dem internen Interface dort rein und klemmt am externen Interface den Internet Router an.
Zwangsläufig muss ja nun aller Traffic deine ganzen VLANs auf dem Switch durch diese Firewall....ein durchaus gängiges Standardszenario !
Der Switch routet ja alles über das Internet Vlan über die Firewall ins Internet.
Hier kannst du doch dann nun über die Quell IP und den URL 100%ig bestimmen was rausdarf aus den VLANs und was nicht...sofern du wirklich auf Anwendungseben filtern willst.
Nach deiner obigen Beschreibung willst du das aber genau nicht.... du willst ja nur bestimmte IP Kommunikationen der VLANs untereinander unterbinden und das ist doch mit banalen IP Accesslisten auf dem Switch leichtestens möglich.
Beispiel:
(IP Netze der VLANs geraten, da wir deine IP Adressierung nicht kennen )
VLAN 350: IP 172.16.2.0 /24 (Anwender)
VLAN 66: 172.16.3.0 /24 (System)
VLAN 166: 172.16.4.0 /24 (Server)
VLAN 784: IP 172.16.5.0 /24 (Verwaltung )
VLAN 999: IP 172.16.99.0 /24 (Internet)
Folgende Access Listen setzen deine Zugriffsbeschränkungen um:
"Benutzer aus dem Vlan 2 sollen Zugriff auf die Server haben und aufs Internet, aber nicht auf Vlan 3,4"
(Dazu musst du System und Server VLAN trennen sonst macht diese Regel (VLAN 3 ist ja System und Server in einem !) bei dir keinen Sinn !! Nebenbei: Netzkomponenten und Server nimmt ein kluger Admin NIEMALS in ein gemeinsames VLAN !! )
VLAN 350 name Anwender
ip address 172.16.2.254 255.255.255.0
access-list no3und4 deny ip 172.16.2.0 0.0.0.255 172.16.3.0 0.0.0.255
access-list no3und4 deny ip 172.16.2.0 0.0.0.255 172.16.5.0 0.0.0.255
access-list no3und4 permit ip any any
(Kommunikation aus VLAN 350 ins VLAN System und Verwaltung ist damit unterbunden !!)
"Benutzer aus Vlan 4 sollen Zugriff auf die Server haben und aufs Internet, aber nicht auf Vlan 2,3"
VLAN 784 name Verwaltung
ip address 172.16.5.254 255.255.255.0
access-list no2und3 deny ip 172.16.5.0 0.0.0.255 172.16.2.0 0.0.0.255
access-list no2und3 deny ip 172.16.5.0 0.0.0.255 172.16.3.0 0.0.0.255
access-list no2und3 permit ip any any
(Kommunikation aus VLAN 784 ins VLAN System und Anwender ist damit unterbunden !!)
"Benutzer aus Vlan 3 (nur ich) sollen Zugriff auf alle Vlans haben und aufs Internet
VLAN 66 name System (Annahme: deine IP ist 172.16.3.100)
ip address 172.16.3.254 255.255.255.0
access-list ichdarfalles permit ip host 172.16.3.100 any
access-list ichdarfalles deny ip any any
(Kommunikation aus VLAN 66 überallhin nur möglich für Host mit der .100 !)
Damit ist allein mit banalen IP Accesslisten auf dem Switch genau das umgesetzt was du haben willst.
Dafür benötigt man maximal 15 Minuten um das zu implementieren.....wo ist also genau dein Problem ?!
Fakt ist das sowie du Layer 3 Adressen als IPs in die VLANs konfigurierst der Switch erstmal transparent routet zwischen den VLANs, das ist klar.
Filtern oder bestimmte Dienste (TCP/UDP Ports) kannst du dann mit den Accesslisten des Switches auch ebenfalls nur IP oder Port bezogen einrichten, das ist auch Fakt.
Es gibt also nur wie du richtig beschreibst eine Filterfunktion nur auf IP Adress oder TCP/UDP Portbasis...auch das ist richtig wenn man nur den Switch gbetrachtet.
Weitere Möglichkeiten hast du de facto NICHT mit dem Switch !!! Ein solcher Switch ist ein Layer 3 (Routing) Device, sieht also nur auf den Layer 3 und sonst nichts ! Logisch das dort dann die Filtermöglichkeiten ausgeschöpft sind...da hast du Recht !
Filtern auf Anwendungsebene wie URLs usw. kannst du folglich nur mit einer Firewall niemals aber mit dem Switch selber !
Was aber trotzdem unverständlich ist, ist die Tatsache das ja alle deine VLANs zentral über die Firewall ins Internet gehen bzw. gehen sollten.
Normalerweise richtet man dafür am Switch zusätzlich ein Internet VLAN ein, hängt die Firewall mit dem internen Interface dort rein und klemmt am externen Interface den Internet Router an.
Zwangsläufig muss ja nun aller Traffic deine ganzen VLANs auf dem Switch durch diese Firewall....ein durchaus gängiges Standardszenario !
Der Switch routet ja alles über das Internet Vlan über die Firewall ins Internet.
Hier kannst du doch dann nun über die Quell IP und den URL 100%ig bestimmen was rausdarf aus den VLANs und was nicht...sofern du wirklich auf Anwendungseben filtern willst.
Nach deiner obigen Beschreibung willst du das aber genau nicht.... du willst ja nur bestimmte IP Kommunikationen der VLANs untereinander unterbinden und das ist doch mit banalen IP Accesslisten auf dem Switch leichtestens möglich.
Beispiel:
(IP Netze der VLANs geraten, da wir deine IP Adressierung nicht kennen
)VLAN 350: IP 172.16.2.0 /24 (Anwender)
VLAN 66: 172.16.3.0 /24 (System)
VLAN 166: 172.16.4.0 /24 (Server)
VLAN 784: IP 172.16.5.0 /24 (Verwaltung )
VLAN 999: IP 172.16.99.0 /24 (Internet)
Folgende Access Listen setzen deine Zugriffsbeschränkungen um:
"Benutzer aus dem Vlan 2 sollen Zugriff auf die Server haben und aufs Internet, aber nicht auf Vlan 3,4"
(Dazu musst du System und Server VLAN trennen sonst macht diese Regel (VLAN 3 ist ja System und Server in einem !) bei dir keinen Sinn !! Nebenbei: Netzkomponenten und Server nimmt ein kluger Admin NIEMALS in ein gemeinsames VLAN !! )
VLAN 350 name Anwender
ip address 172.16.2.254 255.255.255.0
access-list no3und4 deny ip 172.16.2.0 0.0.0.255 172.16.3.0 0.0.0.255
access-list no3und4 deny ip 172.16.2.0 0.0.0.255 172.16.5.0 0.0.0.255
access-list no3und4 permit ip any any
(Kommunikation aus VLAN 350 ins VLAN System und Verwaltung ist damit unterbunden !!)
"Benutzer aus Vlan 4 sollen Zugriff auf die Server haben und aufs Internet, aber nicht auf Vlan 2,3"
VLAN 784 name Verwaltung
ip address 172.16.5.254 255.255.255.0
access-list no2und3 deny ip 172.16.5.0 0.0.0.255 172.16.2.0 0.0.0.255
access-list no2und3 deny ip 172.16.5.0 0.0.0.255 172.16.3.0 0.0.0.255
access-list no2und3 permit ip any any
(Kommunikation aus VLAN 784 ins VLAN System und Anwender ist damit unterbunden !!)
"Benutzer aus Vlan 3 (nur ich) sollen Zugriff auf alle Vlans haben und aufs Internet
VLAN 66 name System (Annahme: deine IP ist 172.16.3.100)
ip address 172.16.3.254 255.255.255.0
access-list ichdarfalles permit ip host 172.16.3.100 any
access-list ichdarfalles deny ip any any
(Kommunikation aus VLAN 66 überallhin nur möglich für Host mit der .100 !)
Damit ist allein mit banalen IP Accesslisten auf dem Switch genau das umgesetzt was du haben willst.
Dafür benötigt man maximal 15 Minuten um das zu implementieren.....wo ist also genau dein Problem ?!
Hi aqui,
lieben Dank für deine Mühen....
Ich werde das morgen mal versuchen umzusetzen
Ehm zu dem Satz: ... niemals in ein Vlan -> Ich bin für Alternativvorschläge immer offen! Sollte ich die Server in ein separates Vlan stellen?
Ansonsten: Wo das Problem ist? Selten ein Netz in der Größenordnung mit den Anforderungen aufgebaut
Übung macht den Meister, gelle
Danke und wenn du irgendwelche Vorschläge hast bin ich dafür jederzeit offen!
lg
lieben Dank für deine Mühen....
Ich werde das morgen mal versuchen umzusetzen
Ehm zu dem Satz: ... niemals in ein Vlan -> Ich bin für Alternativvorschläge immer offen! Sollte ich die Server in ein separates Vlan stellen?
Ansonsten: Wo das Problem ist? Selten ein Netz in der Größenordnung mit den Anforderungen aufgebaut
Übung macht den Meister, gelle
Danke und wenn du irgendwelche Vorschläge hast bin ich dafür jederzeit offen!
lg
OK, als Anfänger im Design solcher Netze sei dir verziehen ... 
Ehm zu dem Satz: ... niemals in ein Vlan -> Ich bin für Alternativvorschläge immer offen! Sollte ich die Server in ein separates Vlan stellen?...
Sowas ist generell ein Tabu ! Warum: Weil deine Management IP Adressen der Komponenten dann zusammen mit deinen Servern in einem IP Netzwerk sind.
Um Attacken und Manipulationen von Nutzern auf die Management IPs von Netzkomponenten sicher zu vermeiden werden die Management IPs generell in einem Mangement VLAN isoliert oder es wird das VLAN 1 dafür genommen in das man dann niemals Produktivtraffic legt.
Eine Filterliste wie du sie oben siehst gewährt dann nur den Administratoren Zugriff.
Das ist eine goldene Grundregel beim Design größerer Netze zum Schutz der Netzwerk Komponenten !
Ansonsten macht dein VLAN Design schon mal eine guten Eindruck für einen Anfänger ! (Sofern du das Servernetz natürlich noch separierst...logisch !)
P.S.: Die Beispiel ACLs oben sind in Cisco Syntax gehalten erklären sich daduch aber fast von selbst (das war der Grund !). Da das HP CLI aber (fast) gleich ist, sind die Kommandos vermutlich identisch. Um sicher zu gehen solltest du nochmal ins Handbuch des Switches sehen unter der Rubrik IP Filterlisten !
Ehm zu dem Satz: ... niemals in ein Vlan -> Ich bin für Alternativvorschläge immer offen! Sollte ich die Server in ein separates Vlan stellen?...
Sowas ist generell ein Tabu ! Warum: Weil deine Management IP Adressen der Komponenten dann zusammen mit deinen Servern in einem IP Netzwerk sind.
Um Attacken und Manipulationen von Nutzern auf die Management IPs von Netzkomponenten sicher zu vermeiden werden die Management IPs generell in einem Mangement VLAN isoliert oder es wird das VLAN 1 dafür genommen in das man dann niemals Produktivtraffic legt.
Eine Filterliste wie du sie oben siehst gewährt dann nur den Administratoren Zugriff.
Das ist eine goldene Grundregel beim Design größerer Netze zum Schutz der Netzwerk Komponenten !
Ansonsten macht dein VLAN Design schon mal eine guten Eindruck für einen Anfänger ! (Sofern du das Servernetz natürlich noch separierst...logisch !)
P.S.: Die Beispiel ACLs oben sind in Cisco Syntax gehalten erklären sich daduch aber fast von selbst (das war der Grund !). Da das HP CLI aber (fast) gleich ist, sind die Kommandos vermutlich identisch. Um sicher zu gehen solltest du nochmal ins Handbuch des Switches sehen unter der Rubrik IP Filterlisten !
Ok, wie es aussieht hat der Switch keine ACLs. Also ich finde weder im Netz noch in der Doku was dazu.
Mit dem Trennen der Vlans werde ich dann aber noch so umsetzen, wobei ich dann die Zugriffe nur über den Router handlen kann und dort die Firewallregeln entsprechend setzen muss.
Dann bin ich natürlich bei dem gehabten Problem, dass ich bei einer IP Adress-Änderung im anderen Netz bin, was ja dem Sinn von Vlans widerspricht
Ich hasse es kein Geld zu haben für IT Krams. Es muss immer alles gehen und das am Besten für Lau , sonst hätte ich hier schon nen anderen Switch hingestellt ... aber bei 72 Ports, LWL Modul und noch nem 5 Port GB Modul wird das teuer...
Danke jedenfalls für deine Mühen und wenn du noch eine Idee hast das umzusetzen wäre ich sehr sehr dankbar.
LG
Mit dem Trennen der Vlans werde ich dann aber noch so umsetzen, wobei ich dann die Zugriffe nur über den Router handlen kann und dort die Firewallregeln entsprechend setzen muss.
Dann bin ich natürlich bei dem gehabten Problem, dass ich bei einer IP Adress-Änderung im anderen Netz bin, was ja dem Sinn von Vlans widerspricht
Ich hasse es kein Geld zu haben für IT Krams. Es muss immer alles gehen und das am Besten für Lau
, sonst hätte ich hier schon nen anderen Switch hingestellt ... aber bei 72 Ports, LWL Modul und noch nem 5 Port GB Modul wird das teuer...Danke jedenfalls für deine Mühen und wenn du noch eine Idee hast das umzusetzen wäre ich sehr sehr dankbar.
LG
Ja, das ist leider immer der Nachteil wenn man bei HP Billigware hängen bleibt, das rächt sich an den Features dann. Obwohl sogar NetGear L3 Switches schon ACLs haben... Na ja ist halt ne etwas ältere HP Möhre und da darf man dann keinen Komfort erwarten
Es gibt aber eine Lösung für dich: wenn du einen alten PC hast, dann generierst du einen Trunk (Tagged Link) mit allen VLANs auf dem Switch und routest die VLANs über eine Firewall zum Nulltarif:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Es ginge auch mit einem Server PC aber dann ist dein Routing immer von diesem Server abhängig:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Technisch besser ist dann doch die FW Lösung.
Wenn du 120 Euronen überhast kannst du das sogar mit einer kleinen Appliance machen (Alix Mainboard)
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
Es gibt aber eine Lösung für dich: wenn du einen alten PC hast, dann generierst du einen Trunk (Tagged Link) mit allen VLANs auf dem Switch und routest die VLANs über eine Firewall zum Nulltarif:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Es ginge auch mit einem Server PC aber dann ist dein Routing immer von diesem Server abhängig:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Technisch besser ist dann doch die FW Lösung.
Wenn du 120 Euronen überhast kannst du das sogar mit einer kleinen Appliance machen (Alix Mainboard)
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
Naja so billig war der Switch gar nicht mal Aber ich hab den Kram hier auch nicht gekauft und das steht schon ein paar Jahre hier...
Ansonsten werde ich mir deine Lösungen und Vorschläge mal ansehen.
Ich danke dir jedenfalls noch mal vielmals für deine Mühen
LG
Aber ich hab den Kram hier auch nicht gekauft und das steht schon ein paar Jahre hier...Ansonsten werde ich mir deine Lösungen und Vorschläge mal ansehen.
Ich danke dir jedenfalls noch mal vielmals für deine Mühen
LG
Hey Aqui,
Noch ne Frage:
Ich habe heute die Switche neu konfiguriert, weil das vorne und hinten nicht geklappt hat.
Folgende Konfig:
Auf allen Switches sind folgende VLANS konfiguriert
DEFAULT_VLAN 1
Benutzer 10
Anwender 20
Verwaltung 30
An den HP 2600 hängen 8 Accesspoints
Die 4000er sind über LWL verbunden ...
Default = Management
Benutzer = Die Masse an Benutzern
Anwender = einige ausgewählte
Verwaltung = Verwaltungsmitarbeiter
Das pingen untereinander funktioniert.
Nun ist die Sache noch mal mit dem Router und den Servern
Wie kann ich es einrichten, dass ich aus allen Vlans über einen Port ins Internet komme?
Wie kann ich es einrichten, dass ich aus allen VLans auf alle Server komme?
Der Server ist ein ESXi mit 2 physischen Netzwerkkarten auf dem 3 Maschinen (Server 2008) laufen + Astaro?
Kannst du mir dazu evtl. noch ein paar Tipps geben? Wäre dir sehr dankbar
LG
EDIT: Habe gerade noch mal ein wenig recherchiert und da sind mir noch zwei Fragen gekommen:
Ich habe das Netz übernommen und auf dem 4108gl sind zwei 1GB Ports als Trunk zusammen gefasst. Diese sind bzw. waren an den Server angeschlossen.
Wenn ich es richtig verstanden habe soll das einer höheren Durchsatzrate dienen?!
Allerdings bekomme ich dann, wenn ich das Routing einschalten will eine Fehlermeldung. Auf
Auf Seite 4 bzw. 12-4 dieser Anleitung http://ftp.hp.com/pub/networking/software/Mgmt-Oct2005-59906023-Chap12. ... steht was von PortGruppen. Was ist damit gemeint?
Das Modul ist ein 5(oder 6 bin mir gerade nicht sicher) Port 1GB Modul ... an dem an Port 1 ein 2600er HP hängt. Port 3 und 4 sind als Trunk2 konfiguriert und der Rest ist frei.
Noch ne Frage:
Ich habe heute die Switche neu konfiguriert, weil das vorne und hinten nicht geklappt hat.
Folgende Konfig:
Switch (HP 4000) - Switch (HP 4108GL) - Switch (HP 4000) - Switch (HP 2600)
|
Switch (HP 2600)Auf allen Switches sind folgende VLANS konfiguriert
DEFAULT_VLAN 1
Benutzer 10
Anwender 20
Verwaltung 30
An den HP 2600 hängen 8 Accesspoints
Die 4000er sind über LWL verbunden ...
Default = Management
Benutzer = Die Masse an Benutzern
Anwender = einige ausgewählte
Verwaltung = Verwaltungsmitarbeiter
Das pingen untereinander funktioniert.
Nun ist die Sache noch mal mit dem Router und den Servern
Wie kann ich es einrichten, dass ich aus allen Vlans über einen Port ins Internet komme?
Wie kann ich es einrichten, dass ich aus allen VLans auf alle Server komme?
Der Server ist ein ESXi mit 2 physischen Netzwerkkarten auf dem 3 Maschinen (Server 2008) laufen + Astaro?
Kannst du mir dazu evtl. noch ein paar Tipps geben? Wäre dir sehr dankbar
LG
EDIT: Habe gerade noch mal ein wenig recherchiert und da sind mir noch zwei Fragen gekommen:
Ich habe das Netz übernommen und auf dem 4108gl sind zwei 1GB Ports als Trunk zusammen gefasst. Diese sind bzw. waren an den Server angeschlossen.
Wenn ich es richtig verstanden habe soll das einer höheren Durchsatzrate dienen?!
Allerdings bekomme ich dann, wenn ich das Routing einschalten will eine Fehlermeldung. Auf
Auf Seite 4 bzw. 12-4 dieser Anleitung http://ftp.hp.com/pub/networking/software/Mgmt-Oct2005-59906023-Chap12. ... steht was von PortGruppen. Was ist damit gemeint?
Das Modul ist ein 5(oder 6 bin mir gerade nicht sicher) Port 1GB Modul ... an dem an Port 1 ein 2600er HP hängt. Port 3 und 4 sind als Trunk2 konfiguriert und der Rest ist frei.
