Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Layer 2 Firewall - MAC-Tabellen der Switche mit doppelten Einträgen

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

04.07.2014 um 15:01 Uhr, 1573 Aufrufe, 13 Kommentare

Hallo!

Ich habe gerade hier folgendes Szenario:

ROUTER -> Bridging Firewall -> Server
* VLAN 100 * * VLAN 200 *


Die Bridging-Firewall hängt also mit einem Fuß im VLAN 100 und mit einem Fuß im VLAN 200 auf einem Switch. Spanning-Tree ist auf diesen zwei Ports entsprechend deaktiviert.


Was mich jetzt wunder ist, ob das nicht problematisch ist mit den MAC-access-lists der Switche. Die Firewall arbeitet als dynamische Bridge, die nur filter. Jetzt sind aber die MAC-Adressen in den Access-Listen der Switche sowohl mit VLAN 100, als auch mit VLAN 200 zu sehen. Muss ich dadurch mit Problemen rechnen?




Vielen Dank und Grüße
Phil



Mitglied: aqui
04.07.2014, aktualisiert um 16:17 Uhr
Nein, denn Switches (jedenfalls die besseren..) führen pro VLANs getrennte Forwarding Databases ! Nur routen zwischen diesen VLANs ist damit absolut Tabu, denn das ergibt dann ein ARP Chaos !
VLANs zu bridgen ist aber dennoch kein gutes Design....
Bitte warten ..
Mitglied: Der-Phil
04.07.2014 um 16:43 Uhr
Hallo Aqui!

Dann bin ich beruhigt.

Warum findest Du das kein gutes Design? Hältst Du einfach insgesamt nichts von Filtern auf Layer 2 und würdest immer routen?

Grüße
Phil
Bitte warten ..
Mitglied: 108012
04.07.2014 um 17:43 Uhr
Hallo,

Warum findest Du das kein gutes Design?
Kann man das mit Switch ACLs nicht auch machen?

Hältst Du einfach insgesamt nichts von Filtern auf Layer 2 und würdest immer routen?
Bridge wenn Du musst und route wenn Du kannst!

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
05.07.2014, aktualisiert um 09:46 Uhr
Hältst Du einfach insgesamt nichts von Filtern auf Layer 2 und würdest immer routen?
Ja. Siehe Zitat vom Kollegen Dobby !
Bitte warten ..
Mitglied: Der-Phil
07.07.2014 um 07:16 Uhr
Hallo!

Meine Layer2-Firewall (Palo Alto PA-3020) macht einfach mehr, als Switch-ACLs können (IPS, AV, Decryption, etc). Layer 3 wäre schon ein echter Kraftakt für mich, weil ich wirklich richtig viel ändern müsste. Das möchte ich eigentlich vermeiden.

Gruß
Phil
Bitte warten ..
Mitglied: 108012
07.07.2014 um 08:50 Uhr
Meine Layer2-Firewall (Palo Alto PA-3020) macht einfach mehr, als Switch-ACLs können
(IPS, AV, Decryption, etc).
Ne klar ist aber auch ein völlig anderes Gerät und auch nicht nur ein Layer2 Gerät!!!
Denn egal was die kann, entweder Du hast Layer3 Switche oder aber Du brauchst
jemand anderen der zwischen den VLANs routen kann!

Layer 3 wäre schon ein echter Kraftakt für mich, weil ich wirklich richtig viel ändern müsste.
Eigentlich muss man ja nur die VLANs bis auf die Firewall führen, oder?

Das möchte ich eigentlich vermeiden.
So hat sich das auch heraus gelesen.
Nur deshalb mit "port flapping" und "Rx bzw. Tx" "packet loss" zu leben oder aber
sogar das ganze Netzwerk auf tönerne Füße zu stellen ist auch nicht das Wahre.

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
07.07.2014 um 09:21 Uhr
Hey Dobby!

Warum denn port-flapping und packet loss? Eigentlich sollte das auch auch bei Layer2 nicht das Problem sein, oder hast Du das schon so gesehen?

Zu meinem Setup:
Klar könnte ich das irgendwie umbiegen, aber eigentlich möchte ich die Palo-Alto nicht als Edge-Router, weil die IPSec-Konfiguraion so schrecklich ist. Wenn sie hinter dem derzeitigen Router im Layer2 steht, muss ich irgendwie ein Transfernetz "einbiegen". Das würde ich nur machen, wenn es gar nicht anders geht.

Grüße
Phil
Bitte warten ..
Mitglied: 108012
07.07.2014 um 10:25 Uhr
Warum denn port-flapping und packet loss? Eigentlich sollte das auch auch bei Layer2 nicht das
Problem sein, oder hast Du das schon so gesehen?
Das bezog sich auf das "bridgen" der Ports.

Klar könnte ich das irgendwie umbiegen, aber eigentlich möchte ich die Palo-Alto nicht als Edge-
Router, weil die IPSec-Konfiguraion so schrecklich ist. Wenn sie hinter dem derzeitigen Router im
Layer2 steht, muss ich irgendwie ein Transfernetz "einbiegen". Das würde ich nur machen, wenn es > gar nicht anders geht.
Na dann einfach einen MikroTik RB450G besorgen und dann dazwischen klemmen und gut ist es.
Bei größeren Netzwerken kann es auch ruhig ein RB1200 oder RB1100 sein oder aber ein
RB1100AHx2.

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
07.07.2014 um 10:54 Uhr
Hallo!

Die Palo-Alto kann schon routen, aber ich muss eben irgendwie ein Transfernetz schaffen und das ist nicht ganz ohne. Da hilft mir der MikrotikRouter nicht so viel weiter, obwohl ich die Geräte sehr gerne einsetze.

Für mich ist eher entscheidend: Layer 2 Firewalls haben einen ziemlich schlechten Ruf und ich weiß nicht so ganz, warum. Klar kann ich auf Layer 3 gehen und ein Transfernetz bauen, aber gerade fehlen mir ein paar Argumente, warum.



Grüße
Phil
Bitte warten ..
Mitglied: 108012
07.07.2014 um 10:59 Uhr
Für mich ist eher entscheidend: Layer 2 Firewalls haben einen ziemlich schlechten Ruf und
ich weiß nicht so ganz, warum. Klar kann ich auf Layer 3 gehen und ein Transfernetz bauen,
aber gerade fehlen mir ein paar Argumente, warum.
Ich denke da muss doch irgend wo einer das Routing übernehmen,
bei Euch im Netzwerk und das sind nicht die Layer2 Switche
und auch nicht eine Layer2 Firewall!

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
07.07.2014 um 11:04 Uhr
Hallo!

Klar!
Mein Setup sieht derzeit so aus:

| | | | |
IPSEC-Router -> Layer 2 Firewall PA-3020 -> IPTables-Firewall -
| | | | |

Die IPTables-Firewall routet zwischen 23 VLANs. Die IPSec-Router möchte ich nicht tauschen und die IPTables-Firewall brauche ich, weil die Palo-Alto nicht schnell genug ist.


Also würde ich, um auf Layer 3 zu bleiben ein Transfernetz brauchen:

Deswegen drücke ich mich davor bzw. suche Argumente dafür, den Aufwand zu betreiben und das Transfernetz einzubinden.

Grüße
Phil
Bitte warten ..
Mitglied: 108012
07.07.2014 um 11:25 Uhr
IPSEC-Router -> Layer 2 Firewall PA-3020 -> IPTables-Firewall -
Eine ~16000 € NG Firewall ist nicht schnell genug und es sind
noch zwei weitere Router/Firewalls nötig?

PaloAlto Networks
PA-3020


- 2 Gbps firewall throughput (App-ID enabled1)
- 1 Gbps threat prevention throughput
- 500 Mbps IPSec VPN throughput
- 250,000 max sessions
- 50,000 new sessions per second
- 1,000 IPSec VPN tunnels/tunnel interfaces
- 1,000 SSL VPN Users
- 10 virtual routers
- 1/6 virtual systems (base/max2)
- 40 security zones
- 2,500 max number of policies


Ich klinke mich dann mal aus lieber aus.

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
07.07.2014 um 14:02 Uhr
Hallo!

Leider ja. Meine interne Firewall hat zwar nicht den Funktionsumfang der PA, aber sie hat 10 Gbit-Interfaces und kann auch fast so schnell routen.

Beim IPSec-Router sieht es anders aus. Da finde ich einfach den Ansatz von PA nicht wirklich gut und habe Probleme, vernünftig die IPSec-Verbindungen mit Multi-WAN zu implementieren. Meine Router können das einfach besser und die sind eben auch schon konfiguriert und funktionieren ohne irgendwelche Probleme.

Den PA-Cluster habe ich zum Filtern gekauft.

Phil
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Layer 2 oder Layer 3 Switch
Frage von coppercableRouter & Routing6 Kommentare

Moin, eine kleine Frage, weils mir einfach nicht klar wird: Wir bekommen mehrere Uplinks, die wir gerne an einen ...

Firewall
Funktionsweise Layer 2 Firewall
Frage von griss2015Firewall5 Kommentare

Moin, wie funktioniert eine Layer 2 Firewall? Dazu müsste die Appliance ja als Switch fungieren, um an alle Netzwerkverbindungen ...

Router & Routing
Layer 3 Switch Routing nach Firewall
Frage von gansa28Router & Routing5 Kommentare

Hallo zusammen, ich habe hier zwei Nortel 4548GT als Stack mit 4 VLANs. Das ganze funktioniert auch soweit, leider ...

DNS

Doppelte DNS Einträge in der DNS Tabelle

Frage von Jannis92DNS3 Kommentare

Moinsen, ich wollte heute über die Administrative Freigabe auf einen von unseren Systemen zugreifen, habe dabei jedoch die folgende ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 8 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 15 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 18 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...