85807
Feb 24, 2011
8761
12
0
Ein Gerät zur Überwachung mehrerer VLAN Netzwerke
Hallo,
Wir benutzten "The Dude" als Netzwerkplanungs und Überwachungssoftware.
Jetzt haben wir ein Netzwerk das in mehrere VLANs geteilt ist. Wir wollen aber hier mit einem NB auf dem "The Dude" installiert ist zugriff zu allen VLANs haben und diese dann mit diesem Gerät überwachen können.
Die Hardware ist folgende:
Switch: Zyxel ES-2024
Firewall: Zywall USG 100
Die VLANs sind jetzt so konfiguriert, dass jedes Netz seinen Internetzugang hat und nicht in das andere kommt.
Mir fehlt eine Gedankenbrücke wie ich es jetzt nun anstelle, dass das NB trotzdem in jedes VLAN mit snmp kommt.
Wir benutzten "The Dude" als Netzwerkplanungs und Überwachungssoftware.
Jetzt haben wir ein Netzwerk das in mehrere VLANs geteilt ist. Wir wollen aber hier mit einem NB auf dem "The Dude" installiert ist zugriff zu allen VLANs haben und diese dann mit diesem Gerät überwachen können.
Die Hardware ist folgende:
Switch: Zyxel ES-2024
Firewall: Zywall USG 100
Die VLANs sind jetzt so konfiguriert, dass jedes Netz seinen Internetzugang hat und nicht in das andere kommt.
Mir fehlt eine Gedankenbrücke wie ich es jetzt nun anstelle, dass das NB trotzdem in jedes VLAN mit snmp kommt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 161485
Url: https://administrator.de/contentid/161485
Printed on: April 16, 2024 at 10:04 o'clock
12 Comments
Latest comment
Wo ist das Problem? Gestatte auf der Firewall dem Notebook Zugriff auf alle VLANs per SNMP.
Gruß
sk
Gruß
sk
Switch: Zyxel ES-2024
Firewall: Zywall USG 100
Die VLANs sind jetzt so konfiguriert, dass jedes Netz seinen Internetzugang hat und nicht in das andere kommt.
Mir fehlt eine Gedankenbrücke wie ich es jetzt nun anstelle, dass das NB trotzdem in jedes VLAN mit snmp kommt.
Firewall: Zywall USG 100
Die VLANs sind jetzt so konfiguriert, dass jedes Netz seinen Internetzugang hat und nicht in das andere kommt.
Mir fehlt eine Gedankenbrücke wie ich es jetzt nun anstelle, dass das NB trotzdem in jedes VLAN mit snmp kommt.
Ich nehme mal an das der Switch managbar ist, da er sonst keine VLAN könnte?
wenn das so ist, dann gibt es irgendwo die Option für einen Port als Trunkport, das Bedeutet dieser Port bekommt alle VLANs zugewiesen, sprich zguriff darauf ist genau für solche Sachen gemacht.
Zitat von @funnysandmann:
wenn das so ist, dann gibt es irgendwo die Option für einen Port als Trunkport, das Bedeutet dieser Port bekommt alle VLANs
zugewiesen, sprich zguriff darauf ist genau für solche Sachen gemacht.
wenn das so ist, dann gibt es irgendwo die Option für einen Port als Trunkport, das Bedeutet dieser Port bekommt alle VLANs
zugewiesen, sprich zguriff darauf ist genau für solche Sachen gemacht.
Dann muss das Notebook allerdings auch taggen können.
Vorsicht ist zudem beim Begriff "Trunk" angebracht: Zyxel versteht darunter etwas anderes als Cisco.
Gruß
sk
Vorsicht ist zudem beim Begriff "Trunk" angebracht: Zyxel versteht darunter etwas anderes als Cisco.
Das wusste ich nicht. OKEinen PC/NB kann man doch nur in ein VLAN bringen nicht in alle deswegen braucht man am Switch einen Monitorport!
Gruß Max
Momemtan ist das NB am Switch auf Port 24 angeschlossen.
Unter den VLAN Port Settings gibt es die Option zum Anhacken "VLAN Trunking"
Ist jetzt wirklich die Frage ob Zyxel das darunter versteht was ich benötige oder was anderes.
Bin jetzt nicht mehr vor Ort und will das nicht per Fernwartung ausprobieren.
Also "tagging" müsste die Netzwerkkarte im Notebook können sonst geht das nicht?
Anderenfalls steck ich das NB auf die Firewall und lass dort per Firewall-Regel den Zugriff zu allen VLANs zu.
Hab ich das so richtig verstanden?
Unter den VLAN Port Settings gibt es die Option zum Anhacken "VLAN Trunking"
Ist jetzt wirklich die Frage ob Zyxel das darunter versteht was ich benötige oder was anderes.
Bin jetzt nicht mehr vor Ort und will das nicht per Fernwartung ausprobieren.
Also "tagging" müsste die Netzwerkkarte im Notebook können sonst geht das nicht?
Anderenfalls steck ich das NB auf die Firewall und lass dort per Firewall-Regel den Zugriff zu allen VLANs zu.
Hab ich das so richtig verstanden?
Also mein Ansatz wäre VLAN trunking zu aktivieren und damit kannste mit Wireshark nachschauen und müsstest eigentlich jedes Netz sehen können.
das mit tagging kann jede neue Netzwerkkarte aber dies bedeutet nur das man einer netzwerkkarte EIN bestimmtes VLAN zuweißen kann auf das es hört.
den anderne Ansatz von sk verstehe ich selbst nicht was er genau meint. Sorry.
ich informiere mich mal über das zyxel VLAN.
gruß
das mit tagging kann jede neue Netzwerkkarte aber dies bedeutet nur das man einer netzwerkkarte EIN bestimmtes VLAN zuweißen kann auf das es hört.
den anderne Ansatz von sk verstehe ich selbst nicht was er genau meint. Sorry.
ich informiere mich mal über das zyxel VLAN.
gruß
Zitat von @85807:
Momemtan ist das NB am Switch auf Port 24 angeschlossen.
Unter den VLAN Port Settings gibt es die Option zum Anhacken "VLAN Trunking"
Momemtan ist das NB am Switch auf Port 24 angeschlossen.
Unter den VLAN Port Settings gibt es die Option zum Anhacken "VLAN Trunking"
ähm hast du unter Management -> Switch Setup -> Port Based oder 802.1Q für vlans konfiguriert???
Link: http://www.zyxeltech.de/webGUI/ES2024A/3.60(TX.0)C0/rpSys.html
der User Guide von dem Switch:
Seite 93 -> VLAN Trunking.
http://www.zyxel.de/web/support_download_detail.php?sqno=4086856
wenn ich es richtig verstanden habe ist es so wie ich gesagt habe.
Gruß
Also VLAN Type ist: 802.1Q
Das Handbuch zeigt einem leider auch nur wie man was Einstellen kann, aber die Erklärung warum und weshalb man es so einstellen könnte fehlt oder ist für mich nicht verständlich.
Und laut Handbuch ist VLAN Trunking nur wichtig wenn man mehrere Switches hat und die VLANs nicht auf jedem einrichten möchte, somit das die VLAN IDs weitergeleitet werden können auch wenn der Switch keine Ahnung hat was für eine VLAN ID da gerade auf dem Port rein kommt.
Wenn dem nicht so ist klärt mich bitte auf.
mfG
Das Handbuch zeigt einem leider auch nur wie man was Einstellen kann, aber die Erklärung warum und weshalb man es so einstellen könnte fehlt oder ist für mich nicht verständlich.
Und laut Handbuch ist VLAN Trunking nur wichtig wenn man mehrere Switches hat und die VLANs nicht auf jedem einrichten möchte, somit das die VLAN IDs weitergeleitet werden können auch wenn der Switch keine Ahnung hat was für eine VLAN ID da gerade auf dem Port rein kommt.
Wenn dem nicht so ist klärt mich bitte auf.
mfG
Ja genau so ist es siehst du worauf ich hinaus will ob nun auf dem Port ein weiterer Switch hängt der alle VLANs bekommt oder eurer NB steht der alle empfangen kann ist egal!!
mfG
mfG
Hallo,
Richtig. Mit der Option "VLAN Trunking" meint Zyxel in der Tat eine Art VLAN-ID-Passthrough. Genau genommen bezieht sich diese Option auch nur auf Port-ausgehenden Verkehr. Denn ob eine unbekannte VLAN-ID eingehend angenommen wird, steuert man über den Ingress-Check. Bei Zyxel sind grundsätzlich alle Switchports sog. Hybridports - d.h. sie nehmen sowohl untaggt als auch .1q-taggt Traffic an, sofern man dies nicht aktiv unterbindet. Per Default nehmen Sie sogar unbekannte VLAN-IDs eingehend an. Was man dann allerdings mit diesem Traffic anstellt, ist eine andere Geschichte. Per Default wird der Traffic verworfen, weil es keine Member dieses VLANs gibt. Man könnte aber auch den eingehenden Traffic per Policy behandeln und so z.B. die ID umschreiben, auf einem bestimmten Port ausgeben, priorisieren, limitieren, blocken oder was auch immer. Oder man kann bei Bedarf eben auch sämtlichen Traffic mit unbekannten IDs auf einem oder mehreren Ports ausgeben, ohne dass diese Ports Member dieses VLANs wären und ohne dass dieses VLAN auf dem Switch überhaupt angelegt wäre. Das ist die Option "VLAN Trunking" - meines Wissens nicht deckungsgleich mit der gleichbetitelten Funktionalität bei Cisco.
Ansonsten versteht Zyxel (aber auch andere Hersteller) unter dem Begriff "Trunking" normalerweise die Lastverteilung auf mehreren Links. Bei Switches auf Layer 2 - bei den USG-Firewalls auf Layer 3.
Ein Monitorport ist wiederum etwas anderes als ein Trunkport (im Cisco-Jargon) und hier nicht hilfreich. Es geht dem TO ja nicht darum, Traffic aus den anderen VLANs auszuwerten, sondern in ein anderes VLAN (per SNMP) zugreifen zu können.
Jain! Es gibt sehrwohl Netzwerkkartentreiber, die mehrere virtuelle Netzwerkarten simulieren, welche dann unterschiedliche VLANs taggen. Hierbei handelt es in der Regel um Server-NICs. Und auf einem Server sollte ein (permanentes) Monitoring-System meiner Meinung nach laufen - nicht auf einem Notebook!
Es gibt aber auch .1q-fähige Geräte, die nur eine VLAN-ID taggen können. Bei Notebooks und bei modernen Client-NICs ist dies die Regel.
Und natürlich gibt es .1q-unaware Geräte, die an einem untaggt Port angeschlossen werden und sich logischer Weise auch nur in einem VLAN befinden können. Jedenfalls bei statischen VLANs. Es gäbe ja auch noch die Möglichkeit, dass der Switch den Traffic analysiert und je nach Kriterium in unterschiedliche VLANs packt. Aber das führt jetzt zu weit.
Wenn das Notebook sich gleichzeitig in mehreren VLANs befinden soll, dann muss es wie oben beschrieben mehrere virtuelle Netzwerkkarten mit unterschiedlichen VLAN-IDs haben und an einem Switchport hängen, der Member in allen VLANs ist und diese VLAN-IDs seinerseits ausgehend taggt.
Die Alternative wären mehrere physische Netzwerkkarten, welche jeweils mit einem (untaggt) Switchport in jedem VLAN verbunden sind. Ich habe aber noch keine Notebooks mit mehreren NICs gesehen...
Generell muss man aber zwischen der Zugehörigkeit zu einem VLAN und der Möglichkeit, auf ein anderes VLAN zuzugreifen, unterscheiden! Dir geht es hier doch um den Zugriff und nicht um die Mitgliedschaft in einem VLAN!
Der VLAN-übergreifende Zugriff kann - je nach Anforderungen und den Möglichkeiten der eingesetzten Systeme - sowohl auf Layer 2 als auch auf Layer 3 ermöglicht werden. Der vorhandene Zyxel-Switch ließe sogar eine Lösung auf Layer 2 auf zwei verschiedene Arten zu: Entweder im Betriebsmodus "Port Based" per Zugriffsmatrix oder im Dot1q-Modus per sog. asymmetrischen VLAN. Beides ist hier aber unnötig! Nimm einfach - wie ich von Anfang an vorgeschlagen habe - die Lösung auf Layer 3: IP-Routing beregelt mit Accesslisten. Es ist doch alles da, was dafür erforderlich ist und es ist die einfachste und sicherste Möglichkeit!
Liegen an der Firewall alle auf dem Switch existierenden VLANs an (egal ob taggt oder mit separatem untaggt Port)?
Werden in allen VLANs verschiedene IP-(Sub)Netze verwendet?
Ist die Firewall in allen beteiligten Netzen das Standardgateway oder gibt es noch andere Router?
Gruß
Steffen
Zitat von @85807:
laut Handbuch ist VLAN Trunking nur wichtig wenn man mehrere Switches hat und die VLANs nicht auf jedem einrichten
möchte, somit das die VLAN IDs weitergeleitet werden können auch wenn der Switch keine Ahnung hat was für eine VLAN
ID da gerade auf dem Port rein kommt.
laut Handbuch ist VLAN Trunking nur wichtig wenn man mehrere Switches hat und die VLANs nicht auf jedem einrichten
möchte, somit das die VLAN IDs weitergeleitet werden können auch wenn der Switch keine Ahnung hat was für eine VLAN
ID da gerade auf dem Port rein kommt.
Richtig. Mit der Option "VLAN Trunking" meint Zyxel in der Tat eine Art VLAN-ID-Passthrough. Genau genommen bezieht sich diese Option auch nur auf Port-ausgehenden Verkehr. Denn ob eine unbekannte VLAN-ID eingehend angenommen wird, steuert man über den Ingress-Check. Bei Zyxel sind grundsätzlich alle Switchports sog. Hybridports - d.h. sie nehmen sowohl untaggt als auch .1q-taggt Traffic an, sofern man dies nicht aktiv unterbindet. Per Default nehmen Sie sogar unbekannte VLAN-IDs eingehend an. Was man dann allerdings mit diesem Traffic anstellt, ist eine andere Geschichte. Per Default wird der Traffic verworfen, weil es keine Member dieses VLANs gibt. Man könnte aber auch den eingehenden Traffic per Policy behandeln und so z.B. die ID umschreiben, auf einem bestimmten Port ausgeben, priorisieren, limitieren, blocken oder was auch immer. Oder man kann bei Bedarf eben auch sämtlichen Traffic mit unbekannten IDs auf einem oder mehreren Ports ausgeben, ohne dass diese Ports Member dieses VLANs wären und ohne dass dieses VLAN auf dem Switch überhaupt angelegt wäre. Das ist die Option "VLAN Trunking" - meines Wissens nicht deckungsgleich mit der gleichbetitelten Funktionalität bei Cisco.
Ansonsten versteht Zyxel (aber auch andere Hersteller) unter dem Begriff "Trunking" normalerweise die Lastverteilung auf mehreren Links. Bei Switches auf Layer 2 - bei den USG-Firewalls auf Layer 3.
Zitat von @funnysandmann:
deswegen braucht man am Switch einen Monitorport!
...
Also mein Ansatz wäre VLAN trunking zu aktivieren und damit kannste mit Wireshark nachschauen und müsstest eigentlich
jedes Netz sehen können.
deswegen braucht man am Switch einen Monitorport!
...
Also mein Ansatz wäre VLAN trunking zu aktivieren und damit kannste mit Wireshark nachschauen und müsstest eigentlich
jedes Netz sehen können.
Ein Monitorport ist wiederum etwas anderes als ein Trunkport (im Cisco-Jargon) und hier nicht hilfreich. Es geht dem TO ja nicht darum, Traffic aus den anderen VLANs auszuwerten, sondern in ein anderes VLAN (per SNMP) zugreifen zu können.
Zitat von @funnysandmann:
Einen PC/NB kann man doch nur in ein VLAN bringen nicht in alle
...
das mit tagging kann jede neue Netzwerkkarte aber dies bedeutet nur das man einer netzwerkkarte EIN bestimmtes VLAN zuweißen
kann auf das es hört.
Einen PC/NB kann man doch nur in ein VLAN bringen nicht in alle
...
das mit tagging kann jede neue Netzwerkkarte aber dies bedeutet nur das man einer netzwerkkarte EIN bestimmtes VLAN zuweißen
kann auf das es hört.
Jain! Es gibt sehrwohl Netzwerkkartentreiber, die mehrere virtuelle Netzwerkarten simulieren, welche dann unterschiedliche VLANs taggen. Hierbei handelt es in der Regel um Server-NICs. Und auf einem Server sollte ein (permanentes) Monitoring-System meiner Meinung nach laufen - nicht auf einem Notebook!
Es gibt aber auch .1q-fähige Geräte, die nur eine VLAN-ID taggen können. Bei Notebooks und bei modernen Client-NICs ist dies die Regel.
Und natürlich gibt es .1q-unaware Geräte, die an einem untaggt Port angeschlossen werden und sich logischer Weise auch nur in einem VLAN befinden können. Jedenfalls bei statischen VLANs. Es gäbe ja auch noch die Möglichkeit, dass der Switch den Traffic analysiert und je nach Kriterium in unterschiedliche VLANs packt. Aber das führt jetzt zu weit.
Zitat von @85807:
Also "tagging" müsste die Netzwerkkarte im Notebook können sonst geht das nicht?
Also "tagging" müsste die Netzwerkkarte im Notebook können sonst geht das nicht?
Wenn das Notebook sich gleichzeitig in mehreren VLANs befinden soll, dann muss es wie oben beschrieben mehrere virtuelle Netzwerkkarten mit unterschiedlichen VLAN-IDs haben und an einem Switchport hängen, der Member in allen VLANs ist und diese VLAN-IDs seinerseits ausgehend taggt.
Die Alternative wären mehrere physische Netzwerkkarten, welche jeweils mit einem (untaggt) Switchport in jedem VLAN verbunden sind. Ich habe aber noch keine Notebooks mit mehreren NICs gesehen...
Generell muss man aber zwischen der Zugehörigkeit zu einem VLAN und der Möglichkeit, auf ein anderes VLAN zuzugreifen, unterscheiden! Dir geht es hier doch um den Zugriff und nicht um die Mitgliedschaft in einem VLAN!
Der VLAN-übergreifende Zugriff kann - je nach Anforderungen und den Möglichkeiten der eingesetzten Systeme - sowohl auf Layer 2 als auch auf Layer 3 ermöglicht werden. Der vorhandene Zyxel-Switch ließe sogar eine Lösung auf Layer 2 auf zwei verschiedene Arten zu: Entweder im Betriebsmodus "Port Based" per Zugriffsmatrix oder im Dot1q-Modus per sog. asymmetrischen VLAN. Beides ist hier aber unnötig! Nimm einfach - wie ich von Anfang an vorgeschlagen habe - die Lösung auf Layer 3: IP-Routing beregelt mit Accesslisten. Es ist doch alles da, was dafür erforderlich ist und es ist die einfachste und sicherste Möglichkeit!
Zitat von @85807:
... steck ich das NB auf die Firewall und lass dort per Firewall-Regel den Zugriff zu allen VLANs zu.
Hab ich das so richtig verstanden?
... steck ich das NB auf die Firewall und lass dort per Firewall-Regel den Zugriff zu allen VLANs zu.
Hab ich das so richtig verstanden?
Liegen an der Firewall alle auf dem Switch existierenden VLANs an (egal ob taggt oder mit separatem untaggt Port)?
Werden in allen VLANs verschiedene IP-(Sub)Netze verwendet?
Ist die Firewall in allen beteiligten Netzen das Standardgateway oder gibt es noch andere Router?
Gruß
Steffen
Hey Steffen
Ja, Am Switch ist ein Port der sogentannte Tagging Port in allen VLANs "fixed" und dieser Port geht zur Firewall.
Ja
Ja zu Gateway, Nein zu andere Router
Das is mir zu sehr Hersteller-Fachjargon, kannst du das etwas weiter erläutern was du damit meinst ?
Liegen an der Firewall alle auf dem Switch exitierenden VLANs an (egal ob taggt oder mit separatem untaggt Port)?
Ja, Am Switch ist ein Port der sogentannte Tagging Port in allen VLANs "fixed" und dieser Port geht zur Firewall.
Werden in allen VLANs verschiedene IP-(Sub)Netze verwendet?
Ja
Ist die Firewall in allen beteiligten Netzen das Standardgateway oder gibt es noch andere Router?
Ja zu Gateway, Nein zu andere Router
Layer 3: IP-Routing beregelt mit Accesslisten
Das is mir zu sehr Hersteller-Fachjargon, kannst du das etwas weiter erläutern was du damit meinst ?
Zitat von @85807:
> Layer 3: IP-Routing beregelt mit Accesslisten
Das is mir zu sehr Hersteller-Fachjargon, kannst du das etwas weiter erläutern was du damit meinst ?
> Layer 3: IP-Routing beregelt mit Accesslisten
Das is mir zu sehr Hersteller-Fachjargon, kannst du das etwas weiter erläutern was du damit meinst ?
In Deinem Fall halt die USG.
Zitat von @85807:
> Liegen an der Firewall alle auf dem Switch exitierenden VLANs an (egal ob taggt oder mit separatem untaggt Port)?
Ja, Am Switch ist ein Port der sogentannte Tagging Port in allen VLANs "fixed" und dieser Port geht zur Firewall.
> Werden in allen VLANs verschiedene IP-(Sub)Netze verwendet?
Ja
> Ist die Firewall in allen beteiligten Netzen das Standardgateway oder gibt es noch andere Router?
Ja zu Gateway, Nein zu andere Router
> Liegen an der Firewall alle auf dem Switch exitierenden VLANs an (egal ob taggt oder mit separatem untaggt Port)?
Ja, Am Switch ist ein Port der sogentannte Tagging Port in allen VLANs "fixed" und dieser Port geht zur Firewall.
> Werden in allen VLANs verschiedene IP-(Sub)Netze verwendet?
Ja
> Ist die Firewall in allen beteiligten Netzen das Standardgateway oder gibt es noch andere Router?
Ja zu Gateway, Nein zu andere Router
ok. Dann spricht doch nichts dagegen, den Zugriff über die Firewall zu regeln.
Ich kenne Eurer Sicherheitskonzept natürlich nicht. Man könnte das Notebook mit einer festen IP-Adresse in eines der VLANs hängen und auf der Firewall nur dieser Absender-IP-Adresse den Zugriff auf die anderen VLANs/Netze gewähren. Welches VLAN man dafür nimmt, müsstest Du entscheiden. Alternativ könnte man ein weiteres (V)LAN/Netz für reine Managementzwecke einrichten und von diesem aus generell den Zugriff auf die anderen Netze gewähren. Der Zugang zu diesem (V)LAN sollte dann allerdings auch physisch kontrolliert sein. Ob man dieses nun über einen Port der Zywall oder am Switch zugänglich macht, hängt von den örtlichen Gegebenheiten und dem Sicherheitserfordernis ab. Ohne Kenntnis der konkreten Umgebung kann ich keine grundlegende Empfehlung geben. Der Konfigurationsaufwand ist natürlich (etwas) geringer, wenn man einen Port an der Zywall nutzt, weil man sich die Switch-Konfig spart. Funktionell besteht kein Unterschied.
Gruß
Steffen