stephan902
May 15, 2016
view2008
view7
0
Goto Top

Reicht für das Management-LAN das untagged LAN oder sollte es ein zusätzliches VLAN geben?

GermanQuestionRouters, RoutingNetworks
Hallo,

bei mir hängt an eth0 meines Routers ein großer Switch. Aktuell ist eth0 am Router mit der Management-IP-Range belegt und es gibt kein VLAN für das Management-LAN. Außerdem sind auf eth0 noch diverse VLANs konfiguriert z.B. eth0.10, das für verkabelte Geräte gedacht ist.

Sollte das Management-LAN zusätzlich noch als tagged VLAN auf eth0 konfiguriert werden? Schließlich habe ich ja sonst keine Management-VLAN-ID oder?

Wenn ja, wie verbinde ich das untagged Management-LAN und das tagged Management V-LAN auf eth0?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 304554

Url: https://administrator.de/contentid/304554

Printed on: April 19, 2024 at 17:04 o'clock

7 Comments
Latest comment
Goto Top
Member: Dani
Dani May 15, 2016 updated at 08:29:09 (UTC)
Goto Top
Moin,
Sollte das Management-LAN zusätzlich noch als tagged VLAN auf eth0 konfiguriert werden? Schließlich habe ich ja sonst keine Management-VLAN-ID oder?
die Antwort auf deine Frage hat bereits Kollege @aqui hier beantwortet.


GRuß0,
Dani
Member: aqui
aqui May 15, 2016 at 12:51:12 (UTC)
Goto Top
Du hast ja schon ein Management VLAN wenn man deine Aussage oben richtig interpretiert. In dem VLAN Segment hat man Zugriff auf alle zu managen Geräte.
Welche ID letztlich dieses Management VLAN hat ist vollkommen Latte. Wichtig ist nur die Tatsache DAS du ein Management VLAN hast das den Management Traffic separat bedient mit entsprechenden Zugriffsbeschränkungen nur für die Admins !
Managementtraffic sollte niemals gleichzeitig mit Produktivtraffic oder in anderen offenen Segmenten einhergehen.
Aber genau das machst du ja auch folgt man deiner o.a. Beschreibung.
Die ID ist dabei wie gesagt egal. Wo ist nun dein Problem ?
Member: stephan902
stephan902 May 15, 2016 at 14:43:16 (UTC)
Goto Top
Ja, mein Management Lan ist vom Produktiv Lan getrennt, d.h., dass kein Zugriff möglich ist.

ABER: Ich habe kein VLAN für das Management, sondern mein Management LAN ist einfach das untagged LAN, das vom Router zum Switch geht (ich kann also auch gar keine VLAN ID einstellen).
Member: stephan902
stephan902 May 15, 2016 at 14:50:42 (UTC)
Goto Top
So sieht das ganze aktuell aus, passt das?
interfaces
Member: aqui
aqui May 15, 2016 at 20:06:09 (UTC)
Goto Top
sondern mein Management LAN ist einfach das untagged LAN,
Das ist dann das sog. Native VLAN oder Default VLAN. Mehr oder weniger auch ein VLAN in einem VLAN Umfeld.
Das Native VLAN ist immer untagged in einem tagged Uplink...alles gut also.
Member: stephan902
stephan902 May 16, 2016 at 00:48:55 (UTC)
Goto Top
Also passt das so oder lässt sich das irgendwie besser machen?
Member: aqui
aqui May 16, 2016 at 09:07:10 (UTC)
Goto Top
Nöö...passt so.
Man könnte natürlich darüber streiten ob es sinnvoll ist das Default VLAN als Management VLAN zu nehmen.
Puristen verneinen das. Logisch, denn im Default VLAN landen alle nicht zugewiesenen Ports die dann immer automatisch im Management VLAN liegen.
Aus Sicherheitssicht ist das suboptimal. Besser wäre dann in der Tat ein dediziertes VLAN für das Management.
Eine Beurteilung hängt aber final dann von deinen eigenen Sicherheitsansprüchen bzw. Policy ab.
GermanQuestionRouters, RoutingNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment