Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Frage zu Einrichtung VLAN

Mitglied: olly

olly (Level 1) - Jetzt verbinden

02.07.2013, aktualisiert 11:00 Uhr, 1313 Aufrufe, 6 Kommentare, 2 Danke

Hallo,
ich habe ein Problem, das ich noch nicht so wirklich greifen kann, weil ich mir das Thema VLAN’s noch nicht wirklich sicher bin.
Folgende Konstellation:

Internes Netzwerk: 172.16.0.0 Netzmaske 255.255.0.0 Gateway(Firewall Juniper SSG140) 172.16.1.250 = VLAN-1 (Standard)
So.
Nun haben wir ein VLAN20 auf den entsprechenden Switchen (HP-2910) angelegt.
Das VLAN funktioniert, wie es soll. Und zwar:

IP-Adressen von 172.16.21.1 – 172.16.21.255 (Netzmaske 255.255.0.0) dürfen nur untereinander kommunizieren (VLAN20) auf den HP-Switches. D.h. die einzelnen Ports (an denen ein PC hängt) kommen bloß ins VLAN20. Das restliche Netz kommt auch nicht per Ping oder ähnliches auf IP’s von 172.16.21.1 – 172.16.21.255.

Nun haben wir den Fall, dass die IP’s aus VLAN20 plötzlich unser Gateway(Firewall 172.16.1.250) benötigen (Zugriff aufs Internet).
Was muss ich wo konfigurieren, damit IP’s aus VLAN20 zur Firewall kommen, aber nicht in den restlichen Netzwerkbereich/VLAN1(Standard) 172.16.0.x – 172.16.100.x ?

Muss man hier was an der Firewall einstellen (hier sind keine VLANs definiert)?
Muss ich am Switch-Port (HP-2910) wo die Firewall drauf hängt was machen? Hängt nämlich nur in VLAN1(Standard).
Ist es überhaupt möglich diese Einschränkungen zu machen bei einem B-Class-Netz?

Viele Grüße

olly

Im Prinzip: Wie mache das Gateway / die Firewall in VLAN20 verfügbar ? Außerdem muss gewährleistet sein, dass kein Traffic von VLAN1 ins VLAN20 kommt über das Gateway sprich über die Firewall, die keine VLAN's kennt und auf dem Switch in VLAN1(Standard) hängt ?
Mitglied: aqui
02.07.2013, aktualisiert um 11:06 Uhr
Dieses Tutorial sollte alle deine Fragen beantworten:
https://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
denn es behandelt exakt genau deine Anforderung !

Eine gute, praxisorientierte Einführung in VLANs findest du hier:
http://www.schulnetz.info/vlan-teil2-woher-weiss-mein-netzwerk-aus-welc ...

Mit dem Rüstzeug solltest du dann den Durchblick behalten bei VLANs....
Bitte warten ..
Mitglied: sk
02.07.2013 um 12:36 Uhr
Der erste Schritt wäre, sich ein sinnvolles Adressierungskonzept auf Layer 3 zu überlegen. Momentan wird in beiden VLANs das Netz 172.16.0.0/16 verwendet. Da Du offenkundig bereits im 3. Oktett die Netze unterscheidest, wäre es das einfachste, auf eine längere Subnetzmaske zu wechseln. Ob das aber in Deiner Umgebung möglich ist (Anzahl der Hosts je Subnetz), weisst nur Du allein...

Gruß
sk
Bitte warten ..
Mitglied: SlainteMhath
02.07.2013 um 12:40 Uhr
Moin,

zusätzlich zu den links von Aqui kann ich dir schonmal vorab sagen, das du einen Denk/Designfehler in deinem VLANs hast.

VLAN 1 = : 172.16.0.0 / 255.255.0.0
VLAN 20 = 172.16.21.1 – 172.16.21.255 / 255.255.0.0

Das ist das gleich Subnetz - 172.16.0.0 / 255.255.0.0 geht von 172.16.0.1 bis 172.16.254.254 - VLANs braucht aber, sofern du zwischen ihnen routen möchtest separate Subnetze.

lg,
Slainte
Bitte warten ..
Mitglied: olly
02.07.2013 um 13:46 Uhr
OK,
soweit war ich auch schon. Wir haben ein B-Class-Netz, das mittels VLAN's in kleinere Netze geteilt werden soll. Genau deswegen habe ich das Problem die Firewall / das Gateway mit IP 172.16.1.250 im VLAN20 verfügbar zu machen, damit auch alles soweit passt.

Meine Überlegung (wenn möglich): Auf der Firewall das VLAN20 anzulegen und beim Switch-Port der Firewall das VLAN20 mit dazu zunehmen. Irgendwie muss ich dann halt noch der Firewall sagen, dass niemand auf IP-Adressen 172.16.21.x zugreifen darf außer eine andere IP-Adresse 172.16.21.x.

Wäre dies möglich?
Bitte warten ..
Mitglied: SlainteMhath
02.07.2013 um 14:06 Uhr
Alle VLANs als Trunk an die Firewall ist schonmal der richtige Ansatz.Oder eben ein phys. Interface der Firewall pro VLAN.

Aber: Du musst Deine Netzmaske anpassen! Eine /16er Maske nützt dir nichts.
Entweder du nimmst eine /24er Maske, dann sind die ist jede Zahl im 3ten Oktet ein separates Netz, oder du nimmst z.b. eine /20er Maske, dann gehen die Netze z.b. von 172.16.0.0-172.16.15.255 / 172.16.16.0-172.16.31.255 usw.

Die FW brauchst aber in jedem Fall in jedem Netz eine IP Adresse die jeweils als Gateway fungiert.

Ob und Wie das mit Deiner FW geht kannst du sicher dem Handbuch entnehmen.
Bitte warten ..
Mitglied: MrNetman
02.07.2013 um 14:17 Uhr
Wie @SlainteMhath schon sagte:

Erst die Adressierung bereinigen.
Dann die beiden VLANs getrennt zur Firewall bringen.
Ein Routing auf der Firewall einrichten.
Zugriffsregeln (ACL) benutzen umd die Nutzer von VLAN1 zu hindern ins VLAN20 zu kommen und umgekehrt.

Gruß
Netman
Bitte warten ..
Ähnliche Inhalte
MikroTik RouterOS
Einrichtung VLAN auf Mikrotik Switch
Frage von CaraboulesMikroTik RouterOS1 Kommentar

Hallo Zusammen, vorneweg: Ich bin ein relativer MikroTik (und überhaupt Netzwerk) Newbie. Nichts desto Trotz habe ich bereits google, ...

Switche und Hubs
VLAN Fragen
gelöst Frage von dan0neSwitche und Hubs12 Kommentare

Hallo an alle, ich habe mir zum Testen 2 Switche gekauft. Switch1: TL-SG2109WEB Switch2: T2600G-28TS Was ich damit machen ...

Netzwerkmanagement

VLAN Einrichtung damit alle den selben Gateway benutzen können

gelöst Frage von WinLiCLINetzwerkmanagement6 Kommentare

Hallo zusammen, ich versuche gerade im Packet Tracer ein VLAN aufzubauen und weis nicht mehr wie es weiter gehen ...

Netzwerkmanagement

VLAN Einrichtung für W-Lan Router

Frage von Hendrik2586Netzwerkmanagement25 Kommentare

Guten Morgen meine Lieben! :) Ich hab da mal eine kleines Szenario das ich euch gerne so gut wie ...

Neue Wissensbeiträge
iOS
Updates für Iphone und Co
Information von sabines vor 11 MinuteniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Heiß diskutierte Inhalte
C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++27 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless22 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL19 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...