Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Einseitiges VLAN Routing mit HP Procurve L3 Switch und Windows Server 2003

Frage Netzwerke Router & Routing

Mitglied: hennilong

hennilong (Level 1) - Jetzt verbinden

04.10.2010, aktualisiert 18.10.2012, 7067 Aufrufe, 8 Kommentare

Ich habe ein Problem bezüglich Routing in VLANs.

Ich erstelle zurzeit ein Netzwerk mit insgesamt 10 VLANs.
Ich habe einen W2k3 Server der an eine HP Procurve L3 Switch angeschlossen ist.
An der Switch hängen dann nochmal insgesamt 10 Hubs (1 Hub pro VLAN) für die Clients.
Davon ist eins das Managment-Vlan (in dem auch der Server ist), 2 sind für Ausbilder Clients und 7 für Azubi Clients.
Die Konfiguration für die VLANs funktioniert soweit gut.
Standardmäßig hat natürlich kein Client zugriff auf ein Client aus einem anderen Netz.
Später sollen aber die Ausbilder mithilfe einer Lehrsoftware die Azubis überwachen können.
Dadurch brauchen die Ausbilder logischerweise Zugriff auf alle 7 Azubi VLANs.
Die Azubis aber wiederrum sollen gar kein Zugriff auf Clients aus anderen Netzen haben.

Beispiel von 3 VLANs:

Managment VLAN: 10.0.0.0/8
(Server) : 10.0.0.1/8

Ausbilder VLAN 1: 10.0.1.0/24
Azubi VLAN 1 10.0.3.0/24

Also einfach gesagt sollen alle Ausbilder Clients einen Ping auf alle Azubi Clients ausführen können, aber nicht andersherum zum Schutz der Ausbilder.

Meine Frage ist jetzt, ob das überhaupt möglich ist und wenn ja wie?

Ich bitte um eine schnelle Antwort.
Mitglied: aqui
04.10.2010, aktualisiert 18.10.2012
Ja, das ist natürlich problemlos möglich:
Zum "WIE" guckst du hier:
http://www.administrator.de/wissen/vlan-routing-%c3%bcber-802.1q-trunk- ...
oder
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Das sollte alle deine Fragen beantworten !
Du blockst dann einfach im AZUBI VLAN Interface ICMP echo (Ping) Pakete in der (Windows) Firewall...fertisch ! Ist ne Sache von 30 Sekunden per Mausklick.
<edit>
Sorry, hab gerade gesehen das du einen L3 Switch hast. Dann ists natürlich noch viel einfacher denn du benötigst logischerweise keinen externen Router !
Du bindest dann die ICMP Accessliste einfach ans VLAN IP Interface des Azubi VLANs...fertig ist der Lack !
</edit>

Einen schlimmen Kardinalsfehler hast du noch oben beim IP Adressdesign gemacht. Entweder Unwissenheit oder ein Druck- oder Denkfehler ?!:
Das Management VLAN darf niemals eine 8er Subnetzmaske haben wenn die restlichen VLANs im gleichen IP Netz mit einer 24er Maske liegen. Der Router kann die Netze dann nicht mehr routen ! Klar... wenn das Mangement IP Netz mit der 8er Maske alle anderen 10er VLAN Netze mit 24er Maske als eigene Hostadressen schon beinhaltet.
Das geht also de facto nicht weil so das Routing unmöglich wird !
Entweder nimmst du das Management Netz in eine anderes IP Netz wie z.B. 172.16.0.0 /16 oder subnettest das Mangement Netz ebenfalls mit einer 24er Maske oder kleiner also 10.0.0.0 /24, dann wird ein Schuh draus !
Bitte warten ..
Mitglied: hennilong
04.10.2010 um 11:01 Uhr
Danke für die schnelle Antwort.
Hätte ich eig auch selbst drauf kommen können.
Hab jetzt einfach in der Registry den Wert von IPEnableRouter auf "1" gesetzt und dann die Azubi VLANs mit der Firewall geblockt.
Bitte warten ..
Mitglied: aqui
04.10.2010 um 11:10 Uhr
Ist aber eigentlich überflüssiger Unsinn wenn du einen Layer 3 fähigen also einen Routing Switch hast. Denn dann ist es eigentlich völliger Blödsinn über den Server zu routen wenn es der Switch selber kann, denn der kann das besser und performanter. Zusätzlich hast du die Security auf der Infrastruktur und nicht auf einem Server. Die Gefahr eines doppelten "Backdoor Routers" besteht damit zusätzlich. Ist also erheblich wasserdicher den Switch selber zu verwenden. Vollkommen unverständlich wenn man schon sowas gutes wie einen L3 Switch im Einsatz hat. Nundenn...
Letztlich aber deine Entscheidung....


Wenns das denn war bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: hennilong
04.10.2010 um 11:57 Uhr
Stimmt auch wieder. Allerdings versteh ich nicht wirklich, wie du das meinst mit der ICMP-Adressliste an die VLAN IP binden.
Könntest du etwas genauer erklären, wie man das macht.
Bitte warten ..
Mitglied: aqui
04.10.2010 um 15:56 Uhr
Dein HP L3 Switch (wenn du denn das Layer 3 Forwarding auf dem Switch und nicht auf dem Server machst wie es in der Regel üblich ist bei Verwendung eines L3 Switches), hat logischerweise in jedem VLAN eine IP Adresse, die für die Clients auch gleichzeitig das Gateway ist !
Auf dem HP kannst du dann Accesslisten konfigurieren, die du an diesen Interfaces aktivierst um bestimmte Pakete zu blocken.
Letztlich genau das was du am Server extern machst.
Also man definiert eine Liste wie z.B.
access-list noazubi deny icmp 10.0.1.0 0.0.0.255 any typ echo
Dann aktiviert man diese ACL am VLAN Interface:
vlan 1
untagged eth 1 to 10
ip address 10.1.0.254 255.255.255.0
ip access-group noazubi in

Wenn du mal dein HP Modell posten würdest lesen wir für dich hier gerne mal das Handbuch wie man diese ACLs aufsetzt ! Oben ist das etwas ciscoisierte Syntax.
Bitte warten ..
Mitglied: hennilong
06.10.2010 um 13:55 Uhr
Ich benutzte ein HP Procurve Switch 2650, also die 2600 series.
Wäre sehr nett, wenn du mir noch weiter Infos geben könntest.

gruß
Bitte warten ..
Mitglied: aqui
07.10.2010 um 14:47 Uhr
IP Adressing with multiple VLANs ist das Zauberwort ! Steht im Handbuch im Kapitel 8-4 !
http://ftp.hp.com/pub/networking/software/Mgmt-Oct2005-59906023-Chap08. ...
Der rest steht im Routing Handbuch:
http://ftp.hp.com/pub/networking/software/AdvTraff-Oct2005-59908853-Cha ...
Mehr als IP Adressen pro VLAN eintragen musst du nicht. Ggf. noch eine default Route auf den Internet Router. Fertig !
In jedem VLAN ist dann die Switch IP das Default Gateway (Standardgateway). Damit routet dann der Switch zwischen den VLANs !!
Einfacher gehts ja nun wirklich nicht ?!
Bitte warten ..
Mitglied: hennilong
11.10.2010 um 15:14 Uhr
Ok, das funktioniert zwar alles ganz toll, aber damit hat sich immernoch nicht meine Frage beantwortet, wie ich nur einseitig route. Das ist ja der Knackpunkt.
Wenn ich nur einem Client das Standardgateway zuweis kommt ja logischerweise keine Verbindung zustande.
Wenn ich es beiden zuweise, können sich beide anpingen.
Gut wäre, wenn ich am Switch für jedes VLAN einzelne Ports öffnen könnte, so wie bei einem Router halt.
Aber ich habe nichts dazu gefunden.
Ansonsten könnte man ja noch vll über die GPOs Firewallconfigs verteilen, aber das ist auch nicht gerade die eleganteste Methode, oder?
Hat jemand eine Idee?
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
HP Procurve VLAN und Routing
gelöst Frage von Fisch2005LAN, WAN, Wireless3 Kommentare

Hallo, ich bin gerade bei einer Aufgabenstellung an der ich nicht weiter komme. Zur Ausgangssituation: Zentral habe ich ein ...

Netzwerkgrundlagen
VLAN mit Switch HP Procurve 2650
gelöst Frage von duacungcaiNetzwerkgrundlagen8 Kommentare

Hallo Zusammen, ich habe einen Switch HP Procuve 2650 angeschafft und möchte mit VLAN probieren. Drei VLANs sind angelegt: ...

LAN, WAN, Wireless
VLAN Routing - L3 oder Firewall?
gelöst Frage von patayaLAN, WAN, Wireless17 Kommentare

Moin, nach ner Menge Lesestoff zum Thema bin ich nicht wirklich fündig zu meinem Vorhaben gekommen: Mein Netzwerk soll ...

Netzwerkgrundlagen
Netzwerkaufbau und Routing mit HP ProCurve
Frage von westberlinerNetzwerkgrundlagen16 Kommentare

Hallo zusammen, ich habe hier parallel zum alten Netzwerk ein neues aufgebaut, aber habe jedoch alle 4-5 Tage mal ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 4 StundenVerschlüsselung & Zertifikate

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 15 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 17 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...