Umstruckturierung Netzwerk

Hallo, mir ist aufgefallen, dass Du bei Deiner VLAN-Strukturierung inhaltliche (Drucker, Server usw.), räumliche (Lager, Besprechungsraum usw.) und organisatorische (IT,Geschäftsleitung usw.) Unterteilung vermischst. Das wird unübersichtlich. (Gehört der PC des IT-Leiters nun zu VLAN "Management" oder VLAN "Geschäftsführung" oder VLAN "IT" oder ....)

Denke auch daran, viele VLANs bedeuten viel Routing, Das ist gegenüber Switching deutlich zeitaufwändiger (Verlängerung von Zugriffszeiten).

Jürgen

Naja aber es wird ja nur ein mal geroutet... ist ja nicht so als ob er über mehrere Router geht - in dem kleinen Netzwerk dürfte er also maximal 3 Schritte haben bis ins Netz, eher 2. Und ins nächste VLAN nur einen... Das bisschen was da anfällt ist für aktuelle L3 Switche kein Problem, die langweilen sich da nur. Was schon verzögert wären aufwendige ACLs.

Zum Konzept der VLANs: Die Drucker würde ich im normalen Abteilungs VLAN lassen. Warum? Wenn der Drucker mal eben umgesteckt oder umgezogen wird hast du Arbeit. Erfahrungsgemäß wird ja doch ständig was geändert - die Abteilungsbüros bleiben ja dann doch recht gleich.

Gruß

win-dozer

Hallo, es gibt bei der Strukturierung kein besser oder schlechter. Die Strukturierung sollte einheitlich, eindeutig und "selbsterklärend" sein. Funktionell sollte man für VoIP immer ein separates VLAN vorsehen. Auch die Server können in einem separaten VLAN stehen. Sind die Host-Server keine Server? Oder warum stehen sie in einem separaten VLAN. Was soll das Management-VLAN beherbergen, wenn die Administratoren mit ihren PCs im IT-VLAN sitzen?

Der Druck-Server im Server-VLAN, der Drucker im Drucker-VLAN und der User mit seinem PC im Abteilungs-VLAN. Kein gegenseitiger Zugriff auf VLANs, kein Routing????

Außerdem verwechselst Du hier etwas: VLANs dienen der Strukturierung des Netzes und ermöglichen eine gegebenenfalls notwendige sicherheitstechnische Abschottung bestimmter Strukturen. Diese Abschottung geschiet aber über die Geräte, die die VLANs miteinander verbinden: also die Router oder L3-Switche.

Router bzw. L3-Switche verbinden erstmal alle VLANs über ihre Routingtabellen gleichberechtigt. Diese Routingtabellen stellen eine virtuelle Sicht auf das gesammte Netz dar. Man sollte sich hüten, aus vermeitlichen Sicherheitsaspekten dies Routingtabellen zu manipulieren. Dann passiert es nämlich ganz schnell, dass zB. die SNMP-Pakete des Druckers nicht mehr auf der Management-Konsole des Admins einlaufen!

Den Zugriff auf die einzelnen VLANs müßte man über eine Firewall vor jedem VLAN regeln. Ob eine solche Firewall-Funktion im L3-Core-Switch integriet ist, muß man schauen. Sie ist auf jedenfall rechenaufwändig und damit teuer.

Und warum dürfen denn zB. die Datenpakete (zB Ping) aus dem Marketing-VLAN nicht in das Geschäftsleitungs-VLAN gelangen, wo doch die Daten der Geschäftsleitung auf den Servern im Server-VLAN liegen. Darauf hat aber das Marketing-VLAN ja Zugriff!

Du solltest Dich noch mal genau mit dem Routing beschäftigen (RIP, OSPF), da scheinen noch einige Unklarheiten und Mißverständnisse zu herrschen.

Jürgen

Hallo,

Habt Ihr VOIP in der Firma laufen???

man kann ja vieles machen aber dazu wären dann auch mal ein paar präzisere Aussagen Deinerseits
notwendig, mal ein Beispiel dazu;

• 2x Core Switch HP Stacked
• 4x Web Smart Switch D-LINK (können VLANs)
• 20x Unmanaged Switch

Das sagt alles aber auch gar nichts über die Portdichte aus des Netzwerkes aus und auch nicht
über die Stärke geschweige denn von der Last die das Netzwerk stemmen muss bzw. soll.
Etwas präziser sollte es schon sein und vor allen Dingen wo die Switche stehen!
Im Flur, in der Abteilung oder doch alle im klimatisierten Raum im 19" Rack.

Des weiteren sollte es man schon so einfach wie möglich halten und so wenig wie Nötig Aufwand
betreiben, das macht jeden Chef etwas unabhängiger von den Admins und das mögen Chefs halt
auch sehr, zumindest die ältere Generation.

Strukturiertes Netzwerk:
Nur dann hole ich nicht nur ein paar Switche neu sondern mache mal Nägel mit Köpfen und investiere
auch mal etwas zumindest in die Zukunft, und dazu gehört dann eben auch ein WLAN Controller und
WLAN APs die Klient Isolation beiten eben so wie eine integrierter Radius Server und ein zusätzliches
Captive Portal für Besucher im WLAN Controller. Das sollte jetzt keine Kritik sein nur dann macht
man es eben einmal, gleich, und ganz richtig und hat dann richtig lange Ruhe.

Die VLAN Aufteilung kann man sicherlich je nach Firma auch ganz anders aufbauen und regeln
gar keine Frage da muss man sich dann eben mal das eine oder andere aufzeichnen und ebenso
wäre hier einen Zeichnung für uns ganz nett gewesen, denn Du siehst wo alles steht und hin soll
und wir müssen uns das hier halt immer vorstellen. Ebenso die nicht verwalteten Switche sollten
meiner Meinung nach ganz verschwinden, es sei denn es sind Abteilungs Switche direkt in den
Abteilungen.

VLAN1 = default VLAN und somit auch Admin VLAN
VLAN2 = Server = 192.168.1.0/24
VLAN3 = Drucker = 192.168.2.0/24
VLAN4 = NAS/SAN = 192.168.3.0/24
VLAN5 = Scanner = 192.168.4.0/24
VLAN6 = PCs = 192.168.5.0/24

oder

VLAN1 = default VLAN und somit auch Admin VLAN
VLAN3 = Sekretariat/Geschäftsleitung
VLAN4 = Sekretariat/Geschäftsführung
VLAN5 = Abteilung 1
VLAN6 = Abteilung 2
VLAN7 = Abteilung 3
VLAN8 = Lager
VLAN9 = Gast WLAN
VLAN10 = internes WLAN

da gibt es wirklich sehr viele Möglichkeiten und das ist sicherlich noch nicht alles denn man
kann über alle VLANs in der Regel noch andere VLAN drüber legen für Gebäude und was weiß
ich nicht noch alles.

Mir wäre eher wichtig das alles aus einer Hand kommt, ok bei der Firewall oder dem Router
kann man sicherlich auch mal etwas anderes hinzu nehmen nur eine Tüte Buntes und dann
überall nur Flicklösungen und Gebastel wäre mir zu aufwendig.

Die wohl größten Vorteile von VLANs sind ja schon genannt worden aber ich ergänze das
ganze jetzt einmal mehr oder weniger.
- Datenschutz
- Bessere Verwaltbarkeit
- Weniger Störungen die sich gleich auf das ganze Netzwerk ausweiten bzw. erstrecken
- Die Priorisierung des Netzwerkverkehrs kann greifen
- WLAN für die Firma und Gäste kann besser und klar von einander abgetrennt werden
- Mehr IP Adressen zur Verfügung aber auf kleinerem Raum!
- Fehlersuche und Behebung ist nicht so Zeitaufwendig.
- Bessere Skalierbarkeit des Netzwerkes

Gruß
Dobby

Na das ist ja schon mal etwas aber dafür sollte man dann doch wohl eher einen kleinen
Squid Proxy aufsetzen und dann hat man das auch alles brav mitgeloggt und kann es
auch ganz anders bzw. noch schneller auswerten, oder aber man setzt einen Syslog Server
auf in dem alle Netzwerkgeräte Ihre Protokolldateien zentral abladen können.

Das bleibt ja Dir selber bzw. Euch überlassen was Du machst!
Man kann die VLANs alle bis an den Router bzw. die Firewall heran führen und das dort
alles terminieren oder aber man leitet die VLANs nur bis zum Layer3 Core Switch und
terminiert sie dort und hat dann ein Transfernetz (VLAN) zum Router oder der Firewall.

Das bleibt jedem selber überlassen, nur wenn VOIP eine Rolle spielen sollte, dann
wirst Du die VLANs schon bis an die Firewall oder den Router durch reichen müssen!
Alleine der QoS Priorisierung wegen sollte das dann schon laufen.

Gruß
Dobby

IMHO sollte das VLAN1 tot sein - nur so kannst du sicher stellen das neue Ports nicht mitten drin im Admin LAN hängen - das dürfte nämlich tötlich sein.

Hallo,

also noch mal: wenn Du das Routing manipulierst, betrifft das alle Datenpakete, da der Router nicht mehr "weiß" wie ein bestimmtes Netzwerk erreichbar ist. Also nicht nur die "Nutzdaten" sondern auch "interne" Datenpakete (ARP, DNS, DHCP, ICMP usw.)
Natürlich kannst Du mit ACLs arbeiten, Die wirken aber auf L2+-Ebene. Dh. Du kannst IP- und MAC-Adressen auswerten aber keine Protokolle/ Dienste.

Und pass auf, dass Du Dir hier nicht einen "Wolf" konfigurierst! Jedes mal, wenn jemand für Support-Zwecke sich in einem VLAN "anstöpselt" muß der Switch umkonfiguriert werden. Und das ist vielleicht noch mit einem Reset des Switches verbunden und alle "fliegen" raus. Und am Ende die Rücknahme der ACL nicht vergessen.

Schon mal über port-basierte Sicherheit mit RADIUS-Authentifizierung nachgedacht?

Der Zugang zu einem Management-Interface eines Gerätes ist doch über Passwort geschützt. Warum denn nun auch noch über ACLs? Und das Management-Interface des Druckers ist nicht über ACLs schützenswert.

--> Struckturierung muß logisch sein, sonst weiß am Ende keiner, wie er wo hin kommt und warum nicht!

Strukturiere nach Abteilungen, dann gibt es aber kein "Lager" (es sei denn, es gibt eine Abteilung "Lager", üblicher weise gehört das Lager aber zum Einkauf oder Produktion) Auch "Besprechungsraum" ist dann Unfug. Was führ ACLs willst Du denn dort konfigurieren?

"IT" ist aber IT! es gibt nicht IT erster und 2. Klasse. Der Admin- Zugang zu den Geräten wird über Passworte geregelt und nicht über ACLs.

Die Server in ein VLAN ist OK. Die Drucker gehören in die Abteilungen (wie @102534 schon sagte).

ESXi-Management-Ports in ein eigenes VLAN macht dann Sinn, wenn HA darüber läuft. Das Verschieben der VMs läuft darüber. Dieser Datenverkehr sollte nicht mit anderem Verkehr kolidieren. Auch für die Datensicherung wäre unter diesem Aspekt ein eigenes VLAN denkbar. Das hängt aber vom Datenvolumen ab.

Ansonsten einfache, flache Strukturen. Weniger ist hier mehr.

Jürgen

Das macht zwar bei einigen Installationen Sinn und erfüllt auch ab und an seinen guten Zweck
nur ist es halt kein Allheilmittel und zielt auch immer auf die dahinter liegende Netzwerkstruktur
ab und die kann eben einmal so und einmal anders herum ausfallen.

Das VLAN1 ist in der Regel das VLAN in dem alle Geräte automatisch Mitglieder werden
und man kann natürlich über alle anderen VLANs noch ein etra VLAN legen und das gesamte
Netzwerk dann vom VLAN1 (default VLAN) abzuschotten und wenn der Zugang dazu gesichert
ist, also sprich auch mittels eines Zertifikates bzw. SSH Schlüssels abgesichert wird kann da
auch niemand rein oder ran. Und sicherlich sollte auch die Admin Console die an den KVM
Switchen hängt die mit allen Switche und Routern bzw. Firewall verbunden ist nicht auf dem
Flur stehen wo alle ran können.

Nicht wenn man die Kabel gebundenen Geräte via LDAP und die Kabel losen Geräte via
RadiusServer und/oder CaptivePortal absichert! Dann werden sie nämlich nicht in das
Netzwerk gelassen, die Switche sollten dann natürlich auch in einem Server oder EDV
Raum stehen an den nicht jeder ran und rein kann. und Geräte die im Netzwerk hängen
bzw. die mit dem Netzwerk wo auch immer verbunden sind und auf die der oder ein Admin
keinen Zugriff hat sind mir noch viel mehr ein Graus!

Sicherlich ist dann auch eine Radius Absicherung der IP Kameras und der WLAN APs
angewiesen nur wenn das eben gute Geräte sind kann man auch dort ein Zertifikat installieren
und dann kann eben niemand mehr das Kabel ab zupfen und etwas anderes anschließen, denn
das wird dann nicht in das Netzwerk gelassen.

Gruß
Dobby

@NokSuKao
Wie viele Ports sind es denn nun insgesamt?
Und wo stehen denn die Switche alle im Rack oder verteilt?

Gruß
Dobby

Hallo, was habt ihr denn für Mitarbeiter?

Dafür gibt es eine Betriebsvereinbahrung: "Eigenmächtige Veränderungen im Netzwerk sind veboten!" Beim ersten mal git´s eine Abmahnung und beim 2. Mal die Kündigung. Fertig. Einmal "durchgezogen" und Du hast Ruhe.

Außerdem kannst Du über ein Management-System die Erreichbarkeit eines Gerätes überwachen. Und wenn das Gerät nicht mehr antwortet, gehst Du mit einem Basballschläger bewaffnet dort hin und sorgs für Ordnung. Glaub mir, das hilft.

Weiterhin kannst Du auf die betroffenen Ports ja einen MAC-Filter legen (ACL), So oft werden die Drucker ja wohl nicht "umgestöpselt".

Jürgen

Hallo nochmal,

Das halte ich für sinnvoll.

Ok danke.

Ok alles klar, das habe ich voll überlesen.

2 x Netgear XSM96GSKT oder
2x Netgear XSM96PSKT oder
ein Paket von jedem und fertig ist der Lack sind dann ca. 18.000 €
Es gibt 2 Stacking Module + Kabel und 2 SFP+ Module + Kabel mit dazu!

Ein XSM7224S mit einer L3 Lizenz ist dann der Core und der andere als L2+ ist
dann für die Serveranbindung fertig.

Netgear WC7520 ~1200 €
WNAP320 ~140 €
WNDAP350 ~180 €
WNAP360 ~ 200 €

Und ein Controller basierendes WLAN steht auch, mit einem Radius für die interne Nutzung
und einem Captive Portal für externe Besucher.

Gruß
Dobby

Das ist Realität zu jeder EM und WM!!!

Ganz alleine und nur ein Smartphone???

• ACLs am Switch
• Firewallregeln am WAN Interface
• LDAP & Radius für Kabel gebundene und lose Geräte

Man kann sicher auch den einen oder anderen Snort Sensor im Netzwerk platzieren und
dazu noch mittels des WLAN Controllers nach Rough WLAN APs scannen, alles kein Thema.

Gruß
Dobby

Ok das kam nicht ganz durch bei mir das Ihr da versorgt seit.

Pro Port angelegt.

Nur Radius alleine für alle Geräte mit Zertifikat und Verschlüsselung knallt einem so richtig
hart auf das LAN, also da sollten dann schon richtig dicke nicht blockierende Switche zum
Einsatz kommen, die die Last auf stemmen können.

Man hat mehrere Snort Sensoren und einen Snort Server, man kann natürlich auch Suricata
benutzen was auch recht gute Sprünge in seiner Entwicklung zur Zeit macht, das ist im Prinzip
egal aber ein IDS System zusammen mit Rouge WLAN Device detection und LDAP + Radius
in Verbindung mit einer Firewall und Switch ACLs runden das ganze dann schon gut ab,
aber das macht auch jeder für sich ab wie sicher es denn sein soll oder die Firma es braucht.

Also das macht halt auch wieder jeder für sich ab, nur ich denke mit den 6 Switchen
und von mir aus auch wenn es redundant im Core laufen soll dann eben mit zwei XSM7224S
& L3 Lizenz also insgesamt 7 Switchen fackelt man das etwas performanter ab als mit 26
Switchen und vor allen Dingen übersichtlicher!

Wir haben 4 x XSM7224S & L3 Lizenz gestapelt als Core im Unternehmen
und dann die restlichen Switche als Stack jeweils 5 PoE und 5 normale
L3 Switche und noch einmal 4 XSM7224S L2+ im Stapel für die Server,
NAS und SAN Geräte. Aber bei einer Portdichte von nur 100 Ports dachte
ich ist man mit zwei von den Kits voll und ganz bedient. Aber wie gesagt
das macht auch jeder für sich ab.

Gruß
Dobby

ACL für einen Port gültig
ACL für 3 Ports gültig

How do I set up an IP Access Control List (ACL) with two rules on my managed switch?

Sollte eigentlich alles erklären.

Gruß
Dobby

Hallo,

Port-basierte Sicherheit (auf MAC- oder IP-Ebene) macht nur dann Sinn, wenn die Gefahr besteht, dass "unautorisierte" Geräte ins Netz gebracht werden. ZB. wenn die Räumlichkeiten öffentlich zugänglich sind (Schule, Hochschule, Konferenz-Zentrum usw.). In einem "privaten" Bereich (zB. Wohnung, Firmengelände) ist der Zugang zu den Netzwerkanschlüssen ja in der Regel schon durch das "Hausrecht" geregelt.

Macht denn bei Dir im Unternehmen jeder was er will? Sind Eure Mitarbeiter alle "kleine" Hacker und schnüffeln den ganzen Tag im Netz umher, statt zu arbeiten? Wenn bei mir jemand im Netzwerk etwas macht, was ich nicht will oder er nicht darf, gehe ich zuerst zum Verursacher und kläre das auf persönlicher Ebene. Hilft das nicht, geht es zur Geschäftsleitung und es gibt eine Anweisung. Hilft das immer noch nicht, gibts ´ne Abmahnung. Soweit mußte ich es aber noch nie treiben, Wenn es ein Problem gibt, suchen wir nach einer konformen Lösung, Und wenn etwas mal nicht realisierbar ist, wird das auch akzeptiert.

Wenn Du auf jeden Switch-Port eine ACL legst, bist Du doch dauernd am umkonfigurieren. Wenn der GF mit seinem neuen Laptop (von dem man Dich nicht in Kenntnis gesetzt hat) in den Besprechungsraum kommt, kommt er nicht mehr ins Netz. Und wer ist Schuld?

Sicherheit ist immer eine Gradwanderung zwischen Bequemlichkeit und Schutzniveau. Soviel Sicherheit wie nötig, soviel Bequemlichkeit wie möglich!

Was nützt Dir ein hochsicheres Passwort (15 Zeichen, zwingend Groß- und Klein-Buchstaben, Ziffern und Sonderzeichen, alle 4 Wochen eine Änderung, PW-Historie über 15 Monate), das sich keiner merken kann und desshalb unter jeder Tastatur ein Zettel klebt.

Jürgen

Dem ist auch schon so nur das kann bei 100 LAN/Switch Ports auch schnell nach
hinten losgehen! Und von daher hat Dir ja weiter oben schon jemand dazu geschrieben:
Und pass auf, dass Du Dir hier nicht einen "Wolf" konfigurierst!

Man kann natürlich auch ACLs auf ganze VLANs anwenden, gar kein Thema,
nur auch die VLANs haben Memberports am Switch bzw. man muss auch den
VLANs Ports am Switch zuweisen.

Naja also die Drucker und Server und router und die Firewall, ebenso wie die
Kameras und die WLAN APs sollten auf jeden Fall nicht so oft wechseln!

Hat er ja schon einmal angesprochen das es jemand bei Ihnen mit einem WLAN AP gemacht
hat! Also so abwegig finde ich das dann gar nicht und da er ja auch auf VLANs umsteigen
möchte, kann man sicherlich auch mit der ein oder anderen ACL die VLANs sichern.

Nur da hält sich eben auch nicht jeder dran, weder die Mitarbeiter und zu Hause
der experimentierfreudige Filius auch nicht!

Man kann die bzw. eine ACL pro Port am Switch definieren und sie gilt für ein Gerät
oder aber es gibt halt auch Ports die zu VLANs und LAGs gehören und dann wird zwar
die ACL für einen Switchport angelegt, gilt aber für ein ganzes VLAN oder mehrere.
Was war denn nun so schlimm an dem Ausspruch "ACLs Portweise"?

Klar an einer Firewall kann man damit ganze Netzwerksegmente mit abdecken und am
Switch sind die eben dann auf einen oder mehrere Ports begrenzt ist aber im Grunde das
gleiche nur das man eben an einer Firewall etwas weniger an Arbeit damit hat bzw. das
ganze etwas zentraler abwickeln kann. nur wenn schon ein zweiter Routingpunkt im LAN
vorhanden ist, Eurem Core Switch, dann macht es sicherlich auch Sinn dort ACLs zu nutzen
damit eben die Firewall oder der Router nicht ganz alleine das Netzwerk routen muss.
Zumindest so wie das sehe.

Gruß
Dobby