hennilong
Goto Top

Einseitiges VLAN Routing mit HP Procurve L3 Switch und Windows Server 2003

Ich habe ein Problem bezüglich Routing in VLANs.

Ich erstelle zurzeit ein Netzwerk mit insgesamt 10 VLANs.
Ich habe einen W2k3 Server der an eine HP Procurve L3 Switch angeschlossen ist.
An der Switch hängen dann nochmal insgesamt 10 Hubs (1 Hub pro VLAN) für die Clients.
Davon ist eins das Managment-Vlan (in dem auch der Server ist), 2 sind für Ausbilder Clients und 7 für Azubi Clients.
Die Konfiguration für die VLANs funktioniert soweit gut.
Standardmäßig hat natürlich kein Client zugriff auf ein Client aus einem anderen Netz.
Später sollen aber die Ausbilder mithilfe einer Lehrsoftware die Azubis überwachen können.
Dadurch brauchen die Ausbilder logischerweise Zugriff auf alle 7 Azubi VLANs.
Die Azubis aber wiederrum sollen gar kein Zugriff auf Clients aus anderen Netzen haben.

Beispiel von 3 VLANs:

Managment VLAN: 10.0.0.0/8
(Server) : 10.0.0.1/8

Ausbilder VLAN 1: 10.0.1.0/24
Azubi VLAN 1 10.0.3.0/24

Also einfach gesagt sollen alle Ausbilder Clients einen Ping auf alle Azubi Clients ausführen können, aber nicht andersherum zum Schutz der Ausbilder.

Meine Frage ist jetzt, ob das überhaupt möglich ist und wenn ja wie?

Ich bitte um eine schnelle Antwort.

Content-Key: 152278

Url: https://administrator.de/contentid/152278

Ausgedruckt am: 29.03.2024 um 00:03 Uhr

Mitglied: aqui
aqui 04.10.2010, aktualisiert am 18.10.2012 um 18:43:40 Uhr
Goto Top
Ja, das ist natürlich problemlos möglich:
Zum "WIE" guckst du hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
oder
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das sollte alle deine Fragen beantworten !
Du blockst dann einfach im AZUBI VLAN Interface ICMP echo (Ping) Pakete in der (Windows) Firewall...fertisch ! Ist ne Sache von 30 Sekunden per Mausklick.
<edit>
Sorry, hab gerade gesehen das du einen L3 Switch hast. Dann ists natürlich noch viel einfacher denn du benötigst logischerweise keinen externen Router !
Du bindest dann die ICMP Accessliste einfach ans VLAN IP Interface des Azubi VLANs...fertig ist der Lack !
</edit>

Einen schlimmen Kardinalsfehler hast du noch oben beim IP Adressdesign gemacht. Entweder Unwissenheit oder ein Druck- oder Denkfehler ?!:
Das Management VLAN darf niemals eine 8er Subnetzmaske haben wenn die restlichen VLANs im gleichen IP Netz mit einer 24er Maske liegen. Der Router kann die Netze dann nicht mehr routen ! Klar... wenn das Mangement IP Netz mit der 8er Maske alle anderen 10er VLAN Netze mit 24er Maske als eigene Hostadressen schon beinhaltet.
Das geht also de facto nicht weil so das Routing unmöglich wird !
Entweder nimmst du das Management Netz in eine anderes IP Netz wie z.B. 172.16.0.0 /16 oder subnettest das Mangement Netz ebenfalls mit einer 24er Maske oder kleiner also 10.0.0.0 /24, dann wird ein Schuh draus !
Mitglied: hennilong
hennilong 04.10.2010 um 11:01:33 Uhr
Goto Top
Danke für die schnelle Antwort.
Hätte ich eig auch selbst drauf kommen können.
Hab jetzt einfach in der Registry den Wert von IPEnableRouter auf "1" gesetzt und dann die Azubi VLANs mit der Firewall geblockt.
Mitglied: aqui
aqui 04.10.2010 um 11:10:03 Uhr
Goto Top
Ist aber eigentlich überflüssiger Unsinn wenn du einen Layer 3 fähigen also einen Routing Switch hast. Denn dann ist es eigentlich völliger Blödsinn über den Server zu routen wenn es der Switch selber kann, denn der kann das besser und performanter. Zusätzlich hast du die Security auf der Infrastruktur und nicht auf einem Server. Die Gefahr eines doppelten "Backdoor Routers" besteht damit zusätzlich. Ist also erheblich wasserdicher den Switch selber zu verwenden. Vollkommen unverständlich wenn man schon sowas gutes wie einen L3 Switch im Einsatz hat. Nundenn...
Letztlich aber deine Entscheidung....


Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Mitglied: hennilong
hennilong 04.10.2010 um 11:57:00 Uhr
Goto Top
Stimmt auch wieder. Allerdings versteh ich nicht wirklich, wie du das meinst mit der ICMP-Adressliste an die VLAN IP binden.
Könntest du etwas genauer erklären, wie man das macht.
Mitglied: aqui
aqui 04.10.2010 um 15:56:58 Uhr
Goto Top
Dein HP L3 Switch (wenn du denn das Layer 3 Forwarding auf dem Switch und nicht auf dem Server machst wie es in der Regel üblich ist bei Verwendung eines L3 Switches), hat logischerweise in jedem VLAN eine IP Adresse, die für die Clients auch gleichzeitig das Gateway ist !
Auf dem HP kannst du dann Accesslisten konfigurieren, die du an diesen Interfaces aktivierst um bestimmte Pakete zu blocken.
Letztlich genau das was du am Server extern machst.
Also man definiert eine Liste wie z.B.
access-list noazubi deny icmp 10.0.1.0 0.0.0.255 any typ echo
Dann aktiviert man diese ACL am VLAN Interface:
vlan 1
untagged eth 1 to 10
ip address 10.1.0.254 255.255.255.0
ip access-group noazubi in

Wenn du mal dein HP Modell posten würdest lesen wir für dich hier gerne mal das Handbuch wie man diese ACLs aufsetzt ! Oben ist das etwas ciscoisierte Syntax.
Mitglied: hennilong
hennilong 06.10.2010 um 13:55:28 Uhr
Goto Top
Ich benutzte ein HP Procurve Switch 2650, also die 2600 series.
Wäre sehr nett, wenn du mir noch weiter Infos geben könntest.

gruß
Mitglied: aqui
aqui 07.10.2010 um 14:47:21 Uhr
Goto Top
IP Adressing with multiple VLANs ist das Zauberwort ! Steht im Handbuch im Kapitel 8-4 !
http://ftp.hp.com/pub/networking/software/Mgmt-Oct2005-59906023-Chap08. ...
Der rest steht im Routing Handbuch:
http://ftp.hp.com/pub/networking/software/AdvTraff-Oct2005-59908853-Cha ...
Mehr als IP Adressen pro VLAN eintragen musst du nicht. Ggf. noch eine default Route auf den Internet Router. Fertig !
In jedem VLAN ist dann die Switch IP das Default Gateway (Standardgateway). Damit routet dann der Switch zwischen den VLANs !!
Einfacher gehts ja nun wirklich nicht ?!
Mitglied: hennilong
hennilong 11.10.2010 um 15:14:13 Uhr
Goto Top
Ok, das funktioniert zwar alles ganz toll, aber damit hat sich immernoch nicht meine Frage beantwortet, wie ich nur einseitig route. Das ist ja der Knackpunkt.
Wenn ich nur einem Client das Standardgateway zuweis kommt ja logischerweise keine Verbindung zustande.
Wenn ich es beiden zuweise, können sich beide anpingen.
Gut wäre, wenn ich am Switch für jedes VLAN einzelne Ports öffnen könnte, so wie bei einem Router halt.
Aber ich habe nichts dazu gefunden.
Ansonsten könnte man ja noch vll über die GPOs Firewallconfigs verteilen, aber das ist auch nicht gerade die eleganteste Methode, oder?
Hat jemand eine Idee?