Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sinnvolle Netzwerkkonfiguration in Verbindung mit SophosUTM 9.3

Mitglied: JohnDorian

JohnDorian (Level 1) - Jetzt verbinden

10.02.2015 um 16:18 Uhr, 1371 Aufrufe, 6 Kommentare, 2 Danke

Hallo Friends,

ich bin Systemadministrator in einem mittelständischen Unternehmen mit 250 Mitarbeitern, ca 100 PC-Clients und 10 Servern.
Ist zustand:
- ein IP-Adressbereich für alles (192.168.10.0/24)
- Sophos UTM (auf Sophos SG230) dient als Firewall, Proxy-Server, macht NAT und WLAN-AP-Verwaltung

Das soll sich aber ändern, denn wie wir alle wissen, ist es nicht gut alle Geräte in ein Subnetz zu werfen und außerdem werden die Adressen knapp so langsam :D

Jetzt ist die große Frage, wie ich unser Netzwerk sinnvoll umstelle, damit wir nachher mehr Sicherheit und mehr IP-Adressen bei gleichbleibender Performance und Funktionalität haben.

Ich habe dazu nun 2 Ansätze und will von Euch wissen, welcher der gebräuchlichere Wäre, bzw ob es noch einen Besseren gibt.

Ansatz 1:

- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht der zentral(st)e Switch anhand von VLAN-Interfaces, welche die Standard-Gateways der Clients in den VLANs sind
- Standard-Gateway des zentralen Switches ist die SophosUTM welche nur mit den Paketen in Berührung kommt, die im internen Netz keinen Emfpänger finden. Diese werden dann (ggf.) durch den Proxy und durch die Firewall ins große weite Internet geroutet.
- Die SophosUTM hängt dabei (evtl.) in einem separaten VLAN (?)
- Auf der SophosUTM wird die Rückroute von extern in die internen Netze konfiguriert

Ansatz 2:

- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht die SophosUTM anhand von VLAN-Interfaces, die auf dem physikalischen Interface der SophosUTM liegen, welches am zentralen Switch hängt.
- Dadurch lässt sich die Firewall auch zwischen die einzelnen VLAN's schalten
Nachteil müsste hier ja sein, dass jedes Paket, welches nicht im eigenen VLAN bleibt (also quasi ein Großteil der Pakete) über das eine Interface der SophosUTM muss... was diese Performancetechnisch eigentlich nicht aushalten könnte - macht dieser Ansatz dann überhaupt Sinn?
... hach, welche erkentnisse einem beim Schreiben seiner Probleme manchmal kommen...

Vielen Dank schonmal für alle Antworten und Tips!

Grüße, J.D.
Mitglied: DerSchorsch
10.02.2015 um 17:40 Uhr
Hallo,

beide Varianten funktionieren.
Ansatz 1 ist performanter, Ansatz 2 sicherer.
Wenn du keine Kompromise bei Performance eingehen willst, ist es #1.
Das ist auch ausbaufähiger im LAN, also z.B. wenn du die Server mal per 10GE anbinden oder Storage-Systeme hinzufügen willst.
Es gibt durchaus Switches, die bis zu einem gewissen Grad ACLs können. Das ist jetzt nicht so detailiert, wie die UTM es mit ihrem IPS kann, aber im LAN häufig ausreichend. Was da möglich ist, hängt aber davon ab, welche Switch-Hardware ihr habt.

Gruß
Bitte warten ..
Mitglied: aqui
10.02.2015 um 21:12 Uhr
Bei der Netzwerkgröße ist der Ansatz 1 besser.
Gute L3 Switches bieten heute die Option von Accesslisten mit denen sich eine grundlegende Sicherheit schaffen lässt.
Die Sophos ist viel zu klein um performantes VLAN Routing skalierbar zu realisieren.
Besser also du verfolgst Option 1.
Bitte warten ..
Mitglied: JohnDorian
11.02.2015 um 08:44 Uhr
Sehr geil, vielen Dank Euch beiden! Das bestätigt meinen Gedankengang.

Mein Zentralswitch wäre momentan ein HP 2530-48G - funktionell wäre der höchstwarscheinlich ausreichend. Was wäre aber der Unterschied zu einem Switch (z.B. von HP) der über 1000€ liegt? Gibt es da wesentliche Vorteile, die eine Investition rechtfertigen würden?

Grüße, JD
Bitte warten ..
Mitglied: aqui
11.02.2015 um 09:37 Uhr
wäre momentan ein HP 2530-48G
Igitt...schon wieder HP. Keine gute Wahl bei Layer 3 denn da ist HP traditionell sehr schwach....jedenfalls mit den billigen ProCurve Produkten.
Sieh lieber mal über den Horizont auf andere Hersteller die das besser können.
Bitte warten ..
Mitglied: JohnDorian
11.02.2015 um 10:48 Uhr
Alles klar, ja hab ich auch schon gehört, dass das nicht das gelbe vom Ei ist. Ich tendiere gerade auch eher in Richtung eines "richtigen" Layer 3 Core-Switches, also einen mit SFP-Ports der dann eben auch das Routing übernimmt. Gibt es da beliebte Modelle / Empfehlungen für unsere Unternehmensgröße?

Guß, JD
Bitte warten ..
Mitglied: aqui
11.02.2015, aktualisiert um 10:55 Uhr
Die Frage, und das weisst du sicher selber wenn du mal nachdenkst, kann man nicht sinnvoll und zielführend beantworten wenn mein dein Budget nicht kennt !!
Grundsätzlich muss man dazu wissen ob dir dann Premium Hersteller alao Cisco, Extreme, Juniper, Brocade usw. mit Service wichtig sind oder du lieber auf die Billiganbieter schielst.
Kompromiss sind auch sog. Billigschienen der Premium Hersteller wie z.B. Cisco SG300 oder SG500 bei geringerem Budget.
Final also immer die Frage wie wichtig und zuverlässig dir deine Netzwerk Infrastruktur ist, denn das sollte bestimmen welche HW du einsetzt ?!
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Konfiguration von VLANs auf einer SophosUTM 9.2 in der Testumgebung

gelöst Frage von JohnDorianLAN, WAN, Wireless6 Kommentare

Hallo Zusammen, folgende Konfiguration habe ich momentan in einer Testumgebung aufgebaut: Hardware: Switch01 (HP 1810-48G) SophosUTM 9.2 (auf Hyper-V; ...

Router & Routing

Netzwerkkonfiguration mit mehreren Routern

gelöst Frage von StahlmannRouter & Routing20 Kommentare

Bisheriger aufbau mit ISDN-Anschluss: (sorry, die Symbole sind nicht ganz korrekt, ich weiß) Hat tadellos funktioniert. Am ersten Speedport ...

Windows Netzwerk

Netzwerkkonfiguration bei ausgelagertem Exchange 2013

Frage von KaempferWindows Netzwerk3 Kommentare

Hallo, ich habe ein Netzwerk mit 2 DCs mit Server 2008R2 und 2 Exchange Server 2013 auf Server 2012R2. ...

Netzwerke

Sinnvoller Aufbau?

gelöst Frage von flobberNetzwerke14 Kommentare

Schönen guten Tag! Ich habe ein Kleinunternehmen mit lediglich zwei Arbeitsplätzen. Heute sind beide PCs, einer der Hauptarbeitsplatz auf ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 2 TagenWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 2 TagenAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Router & Routing
Router auf Orginal Firmware zurück flashen mit Tftpd
Frage von ILeonardRouter & Routing21 Kommentare

Hallo, Ich habe zwei Router, einmal TP-Link 841n v11 und TP-Link 940N v5. Ich wollte fragen, ob jemand mir ...

Router & Routing
WRT keine Verbindung zum Web Interface
gelöst Frage von ILeonardRouter & Routing18 Kommentare

Hallo, Ich habe einen TP-Link WR841n mit wrt geflasht, das Problem ist ich kann mich mit 192.168.1.1 nicht verbinden. ...

TK-Netze & Geräte
Telefonie zweier Fritzboxen mit je eigenem DSL Anschluss verbinden
Frage von hannsgmaulwurfTK-Netze & Geräte10 Kommentare

Hallo zusammen, ich habe hier einen Haushalt mit zwei Anschlüssen. Einmal ISDN, einmal DSL. An jedem Anschluss hängt eine ...

Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...