Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Einseitiges VLAN Routing mit HP Procurve L3 Switch und Windows Server 2003

Frage Netzwerke Router & Routing

Mitglied: hennilong

hennilong (Level 1) - Jetzt verbinden

04.10.2010, aktualisiert 18.10.2012, 7027 Aufrufe, 8 Kommentare

Ich habe ein Problem bezüglich Routing in VLANs.

Ich erstelle zurzeit ein Netzwerk mit insgesamt 10 VLANs.
Ich habe einen W2k3 Server der an eine HP Procurve L3 Switch angeschlossen ist.
An der Switch hängen dann nochmal insgesamt 10 Hubs (1 Hub pro VLAN) für die Clients.
Davon ist eins das Managment-Vlan (in dem auch der Server ist), 2 sind für Ausbilder Clients und 7 für Azubi Clients.
Die Konfiguration für die VLANs funktioniert soweit gut.
Standardmäßig hat natürlich kein Client zugriff auf ein Client aus einem anderen Netz.
Später sollen aber die Ausbilder mithilfe einer Lehrsoftware die Azubis überwachen können.
Dadurch brauchen die Ausbilder logischerweise Zugriff auf alle 7 Azubi VLANs.
Die Azubis aber wiederrum sollen gar kein Zugriff auf Clients aus anderen Netzen haben.

Beispiel von 3 VLANs:

Managment VLAN: 10.0.0.0/8
(Server) : 10.0.0.1/8

Ausbilder VLAN 1: 10.0.1.0/24
Azubi VLAN 1 10.0.3.0/24

Also einfach gesagt sollen alle Ausbilder Clients einen Ping auf alle Azubi Clients ausführen können, aber nicht andersherum zum Schutz der Ausbilder.

Meine Frage ist jetzt, ob das überhaupt möglich ist und wenn ja wie?

Ich bitte um eine schnelle Antwort.
Mitglied: aqui
04.10.2010, aktualisiert 18.10.2012
Ja, das ist natürlich problemlos möglich:
Zum "WIE" guckst du hier:
http://www.administrator.de/wissen/vlan-routing-%c3%bcber-802.1q-trunk- ...
oder
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Das sollte alle deine Fragen beantworten !
Du blockst dann einfach im AZUBI VLAN Interface ICMP echo (Ping) Pakete in der (Windows) Firewall...fertisch ! Ist ne Sache von 30 Sekunden per Mausklick.
<edit>
Sorry, hab gerade gesehen das du einen L3 Switch hast. Dann ists natürlich noch viel einfacher denn du benötigst logischerweise keinen externen Router !
Du bindest dann die ICMP Accessliste einfach ans VLAN IP Interface des Azubi VLANs...fertig ist der Lack !
</edit>

Einen schlimmen Kardinalsfehler hast du noch oben beim IP Adressdesign gemacht. Entweder Unwissenheit oder ein Druck- oder Denkfehler ?!:
Das Management VLAN darf niemals eine 8er Subnetzmaske haben wenn die restlichen VLANs im gleichen IP Netz mit einer 24er Maske liegen. Der Router kann die Netze dann nicht mehr routen ! Klar... wenn das Mangement IP Netz mit der 8er Maske alle anderen 10er VLAN Netze mit 24er Maske als eigene Hostadressen schon beinhaltet.
Das geht also de facto nicht weil so das Routing unmöglich wird !
Entweder nimmst du das Management Netz in eine anderes IP Netz wie z.B. 172.16.0.0 /16 oder subnettest das Mangement Netz ebenfalls mit einer 24er Maske oder kleiner also 10.0.0.0 /24, dann wird ein Schuh draus !
Bitte warten ..
Mitglied: hennilong
04.10.2010 um 11:01 Uhr
Danke für die schnelle Antwort.
Hätte ich eig auch selbst drauf kommen können.
Hab jetzt einfach in der Registry den Wert von IPEnableRouter auf "1" gesetzt und dann die Azubi VLANs mit der Firewall geblockt.
Bitte warten ..
Mitglied: aqui
04.10.2010 um 11:10 Uhr
Ist aber eigentlich überflüssiger Unsinn wenn du einen Layer 3 fähigen also einen Routing Switch hast. Denn dann ist es eigentlich völliger Blödsinn über den Server zu routen wenn es der Switch selber kann, denn der kann das besser und performanter. Zusätzlich hast du die Security auf der Infrastruktur und nicht auf einem Server. Die Gefahr eines doppelten "Backdoor Routers" besteht damit zusätzlich. Ist also erheblich wasserdicher den Switch selber zu verwenden. Vollkommen unverständlich wenn man schon sowas gutes wie einen L3 Switch im Einsatz hat. Nundenn...
Letztlich aber deine Entscheidung....


Wenns das denn war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: hennilong
04.10.2010 um 11:57 Uhr
Stimmt auch wieder. Allerdings versteh ich nicht wirklich, wie du das meinst mit der ICMP-Adressliste an die VLAN IP binden.
Könntest du etwas genauer erklären, wie man das macht.
Bitte warten ..
Mitglied: aqui
04.10.2010 um 15:56 Uhr
Dein HP L3 Switch (wenn du denn das Layer 3 Forwarding auf dem Switch und nicht auf dem Server machst wie es in der Regel üblich ist bei Verwendung eines L3 Switches), hat logischerweise in jedem VLAN eine IP Adresse, die für die Clients auch gleichzeitig das Gateway ist !
Auf dem HP kannst du dann Accesslisten konfigurieren, die du an diesen Interfaces aktivierst um bestimmte Pakete zu blocken.
Letztlich genau das was du am Server extern machst.
Also man definiert eine Liste wie z.B.
access-list noazubi deny icmp 10.0.1.0 0.0.0.255 any typ echo
Dann aktiviert man diese ACL am VLAN Interface:
vlan 1
untagged eth 1 to 10
ip address 10.1.0.254 255.255.255.0
ip access-group noazubi in

Wenn du mal dein HP Modell posten würdest lesen wir für dich hier gerne mal das Handbuch wie man diese ACLs aufsetzt ! Oben ist das etwas ciscoisierte Syntax.
Bitte warten ..
Mitglied: hennilong
06.10.2010 um 13:55 Uhr
Ich benutzte ein HP Procurve Switch 2650, also die 2600 series.
Wäre sehr nett, wenn du mir noch weiter Infos geben könntest.

gruß
Bitte warten ..
Mitglied: aqui
07.10.2010 um 14:47 Uhr
IP Adressing with multiple VLANs ist das Zauberwort ! Steht im Handbuch im Kapitel 8-4 !
http://ftp.hp.com/pub/networking/software/Mgmt-Oct2005-59906023-Chap08. ...
Der rest steht im Routing Handbuch:
http://ftp.hp.com/pub/networking/software/AdvTraff-Oct2005-59908853-Cha ...
Mehr als IP Adressen pro VLAN eintragen musst du nicht. Ggf. noch eine default Route auf den Internet Router. Fertig !
In jedem VLAN ist dann die Switch IP das Default Gateway (Standardgateway). Damit routet dann der Switch zwischen den VLANs !!
Einfacher gehts ja nun wirklich nicht ?!
Bitte warten ..
Mitglied: hennilong
11.10.2010 um 15:14 Uhr
Ok, das funktioniert zwar alles ganz toll, aber damit hat sich immernoch nicht meine Frage beantwortet, wie ich nur einseitig route. Das ist ja der Knackpunkt.
Wenn ich nur einem Client das Standardgateway zuweis kommt ja logischerweise keine Verbindung zustande.
Wenn ich es beiden zuweise, können sich beide anpingen.
Gut wäre, wenn ich am Switch für jedes VLAN einzelne Ports öffnen könnte, so wie bei einem Router halt.
Aber ich habe nichts dazu gefunden.
Ansonsten könnte man ja noch vll über die GPOs Firewallconfigs verteilen, aber das ist auch nicht gerade die eleganteste Methode, oder?
Hat jemand eine Idee?
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...