Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ein Gerät zur Überwachung mehrerer VLAN Netzwerke

Frage Netzwerke Router & Routing

Mitglied: 85807

85807 (Level 2)

24.02.2011 um 10:31 Uhr, 7161 Aufrufe, 12 Kommentare

Hallo,

Wir benutzten "The Dude" als Netzwerkplanungs und Überwachungssoftware.
Jetzt haben wir ein Netzwerk das in mehrere VLANs geteilt ist. Wir wollen aber hier mit einem NB auf dem "The Dude" installiert ist zugriff zu allen VLANs haben und diese dann mit diesem Gerät überwachen können.
Die Hardware ist folgende:
Switch: Zyxel ES-2024
Firewall: Zywall USG 100

Die VLANs sind jetzt so konfiguriert, dass jedes Netz seinen Internetzugang hat und nicht in das andere kommt.
Mir fehlt eine Gedankenbrücke wie ich es jetzt nun anstelle, dass das NB trotzdem in jedes VLAN mit snmp kommt.
Mitglied: sk
24.02.2011 um 10:37 Uhr
Wo ist das Problem? Gestatte auf der Firewall dem Notebook Zugriff auf alle VLANs per SNMP.

Gruß
sk
Bitte warten ..
Mitglied: funnysandmann
24.02.2011 um 12:50 Uhr
Switch: Zyxel ES-2024
Firewall: Zywall USG 100

Die VLANs sind jetzt so konfiguriert, dass jedes Netz seinen Internetzugang hat und nicht in das andere kommt.
Mir fehlt eine Gedankenbrücke wie ich es jetzt nun anstelle, dass das NB trotzdem in jedes VLAN mit snmp kommt.


Ich nehme mal an das der Switch managbar ist, da er sonst keine VLAN könnte?

wenn das so ist, dann gibt es irgendwo die Option für einen Port als Trunkport, das Bedeutet dieser Port bekommt alle VLANs zugewiesen, sprich zguriff darauf ist genau für solche Sachen gemacht.
Bitte warten ..
Mitglied: sk
24.02.2011 um 13:03 Uhr
Zitat von funnysandmann:
wenn das so ist, dann gibt es irgendwo die Option für einen Port als Trunkport, das Bedeutet dieser Port bekommt alle VLANs
zugewiesen, sprich zguriff darauf ist genau für solche Sachen gemacht.

Dann muss das Notebook allerdings auch taggen können.
Vorsicht ist zudem beim Begriff "Trunk" angebracht: Zyxel versteht darunter etwas anderes als Cisco.

Gruß
sk
Bitte warten ..
Mitglied: funnysandmann
24.02.2011 um 13:40 Uhr
Vorsicht ist zudem beim Begriff "Trunk" angebracht: Zyxel versteht darunter etwas anderes als Cisco.
Das wusste ich nicht. OK

Einen PC/NB kann man doch nur in ein VLAN bringen nicht in alle deswegen braucht man am Switch einen Monitorport!

Gruß Max
Bitte warten ..
Mitglied: 85807
24.02.2011 um 14:30 Uhr
Momemtan ist das NB am Switch auf Port 24 angeschlossen.

Unter den VLAN Port Settings gibt es die Option zum Anhacken "VLAN Trunking"
Ist jetzt wirklich die Frage ob Zyxel das darunter versteht was ich benötige oder was anderes.
Bin jetzt nicht mehr vor Ort und will das nicht per Fernwartung ausprobieren.
Also "tagging" müsste die Netzwerkkarte im Notebook können sonst geht das nicht?
Anderenfalls steck ich das NB auf die Firewall und lass dort per Firewall-Regel den Zugriff zu allen VLANs zu.

Hab ich das so richtig verstanden?
Bitte warten ..
Mitglied: funnysandmann
24.02.2011 um 14:34 Uhr
Also mein Ansatz wäre VLAN trunking zu aktivieren und damit kannste mit Wireshark nachschauen und müsstest eigentlich jedes Netz sehen können.

das mit tagging kann jede neue Netzwerkkarte aber dies bedeutet nur das man einer netzwerkkarte EIN bestimmtes VLAN zuweißen kann auf das es hört.

den anderne Ansatz von sk verstehe ich selbst nicht was er genau meint. Sorry.

ich informiere mich mal über das zyxel VLAN.

gruß
Bitte warten ..
Mitglied: funnysandmann
24.02.2011 um 14:41 Uhr
Zitat von 85807:
Momemtan ist das NB am Switch auf Port 24 angeschlossen.

Unter den VLAN Port Settings gibt es die Option zum Anhacken "VLAN Trunking"


ähm hast du unter Management -> Switch Setup -> Port Based oder 802.1Q für vlans konfiguriert???


Link: http://www.zyxeltech.de/webGUI/ES2024A/3.60(TX.0)C0/rpSys.html

der User Guide von dem Switch:

Seite 93 -> VLAN Trunking.
http://www.zyxel.de/web/support_download_detail.php?sqno=4086856

wenn ich es richtig verstanden habe ist es so wie ich gesagt habe.

Gruß
Bitte warten ..
Mitglied: 85807
24.02.2011 um 17:28 Uhr
Also VLAN Type ist: 802.1Q

Das Handbuch zeigt einem leider auch nur wie man was Einstellen kann, aber die Erklärung warum und weshalb man es so einstellen könnte fehlt oder ist für mich nicht verständlich.
Und laut Handbuch ist VLAN Trunking nur wichtig wenn man mehrere Switches hat und die VLANs nicht auf jedem einrichten möchte, somit das die VLAN IDs weitergeleitet werden können auch wenn der Switch keine Ahnung hat was für eine VLAN ID da gerade auf dem Port rein kommt.

Wenn dem nicht so ist klärt mich bitte auf.

mfG
Bitte warten ..
Mitglied: funnysandmann
24.02.2011 um 18:07 Uhr
Ja genau so ist es siehst du worauf ich hinaus will ob nun auf dem Port ein weiterer Switch hängt der alle VLANs bekommt oder eurer NB steht der alle empfangen kann ist egal!!

mfG
Bitte warten ..
Mitglied: sk
24.02.2011 um 18:30 Uhr
Hallo,


Zitat von 85807:
laut Handbuch ist VLAN Trunking nur wichtig wenn man mehrere Switches hat und die VLANs nicht auf jedem einrichten
möchte, somit das die VLAN IDs weitergeleitet werden können auch wenn der Switch keine Ahnung hat was für eine VLAN
ID da gerade auf dem Port rein kommt.

Richtig. Mit der Option "VLAN Trunking" meint Zyxel in der Tat eine Art VLAN-ID-Passthrough. Genau genommen bezieht sich diese Option auch nur auf Port-ausgehenden Verkehr. Denn ob eine unbekannte VLAN-ID eingehend angenommen wird, steuert man über den Ingress-Check. Bei Zyxel sind grundsätzlich alle Switchports sog. Hybridports - d.h. sie nehmen sowohl untaggt als auch .1q-taggt Traffic an, sofern man dies nicht aktiv unterbindet. Per Default nehmen Sie sogar unbekannte VLAN-IDs eingehend an. Was man dann allerdings mit diesem Traffic anstellt, ist eine andere Geschichte. Per Default wird der Traffic verworfen, weil es keine Member dieses VLANs gibt. Man könnte aber auch den eingehenden Traffic per Policy behandeln und so z.B. die ID umschreiben, auf einem bestimmten Port ausgeben, priorisieren, limitieren, blocken oder was auch immer. Oder man kann bei Bedarf eben auch sämtlichen Traffic mit unbekannten IDs auf einem oder mehreren Ports ausgeben, ohne dass diese Ports Member dieses VLANs wären und ohne dass dieses VLAN auf dem Switch überhaupt angelegt wäre. Das ist die Option "VLAN Trunking" - meines Wissens nicht deckungsgleich mit der gleichbetitelten Funktionalität bei Cisco.
Ansonsten versteht Zyxel (aber auch andere Hersteller) unter dem Begriff "Trunking" normalerweise die Lastverteilung auf mehreren Links. Bei Switches auf Layer 2 - bei den USG-Firewalls auf Layer 3.


Zitat von funnysandmann:
deswegen braucht man am Switch einen Monitorport!
...
Also mein Ansatz wäre VLAN trunking zu aktivieren und damit kannste mit Wireshark nachschauen und müsstest eigentlich
jedes Netz sehen können.

Ein Monitorport ist wiederum etwas anderes als ein Trunkport (im Cisco-Jargon) und hier nicht hilfreich. Es geht dem TO ja nicht darum, Traffic aus den anderen VLANs auszuwerten, sondern in ein anderes VLAN (per SNMP) zugreifen zu können.


Zitat von funnysandmann:
Einen PC/NB kann man doch nur in ein VLAN bringen nicht in alle
...
das mit tagging kann jede neue Netzwerkkarte aber dies bedeutet nur das man einer netzwerkkarte EIN bestimmtes VLAN zuweißen
kann auf das es hört.

Jain! Es gibt sehrwohl Netzwerkkartentreiber, die mehrere virtuelle Netzwerkarten simulieren, welche dann unterschiedliche VLANs taggen. Hierbei handelt es in der Regel um Server-NICs. Und auf einem Server sollte ein (permanentes) Monitoring-System meiner Meinung nach laufen - nicht auf einem Notebook!
Es gibt aber auch .1q-fähige Geräte, die nur eine VLAN-ID taggen können. Bei Notebooks und bei modernen Client-NICs ist dies die Regel.
Und natürlich gibt es .1q-unaware Geräte, die an einem untaggt Port angeschlossen werden und sich logischer Weise auch nur in einem VLAN befinden können. Jedenfalls bei statischen VLANs. Es gäbe ja auch noch die Möglichkeit, dass der Switch den Traffic analysiert und je nach Kriterium in unterschiedliche VLANs packt. Aber das führt jetzt zu weit.


Zitat von 85807:
Also "tagging" müsste die Netzwerkkarte im Notebook können sonst geht das nicht?

Wenn das Notebook sich gleichzeitig in mehreren VLANs befinden soll, dann muss es wie oben beschrieben mehrere virtuelle Netzwerkkarten mit unterschiedlichen VLAN-IDs haben und an einem Switchport hängen, der Member in allen VLANs ist und diese VLAN-IDs seinerseits ausgehend taggt.
Die Alternative wären mehrere physische Netzwerkkarten, welche jeweils mit einem (untaggt) Switchport in jedem VLAN verbunden sind. Ich habe aber noch keine Notebooks mit mehreren NICs gesehen...

Generell muss man aber zwischen der Zugehörigkeit zu einem VLAN und der Möglichkeit, auf ein anderes VLAN zuzugreifen, unterscheiden! Dir geht es hier doch um den Zugriff und nicht um die Mitgliedschaft in einem VLAN!
Der VLAN-übergreifende Zugriff kann - je nach Anforderungen und den Möglichkeiten der eingesetzten Systeme - sowohl auf Layer 2 als auch auf Layer 3 ermöglicht werden. Der vorhandene Zyxel-Switch ließe sogar eine Lösung auf Layer 2 auf zwei verschiedene Arten zu: Entweder im Betriebsmodus "Port Based" per Zugriffsmatrix oder im Dot1q-Modus per sog. asymmetrischen VLAN. Beides ist hier aber unnötig! Nimm einfach - wie ich von Anfang an vorgeschlagen habe - die Lösung auf Layer 3: IP-Routing beregelt mit Accesslisten. Es ist doch alles da, was dafür erforderlich ist und es ist die einfachste und sicherste Möglichkeit!


Zitat von 85807:
... steck ich das NB auf die Firewall und lass dort per Firewall-Regel den Zugriff zu allen VLANs zu.
Hab ich das so richtig verstanden?

Liegen an der Firewall alle auf dem Switch existierenden VLANs an (egal ob taggt oder mit separatem untaggt Port)?
Werden in allen VLANs verschiedene IP-(Sub)Netze verwendet?
Ist die Firewall in allen beteiligten Netzen das Standardgateway oder gibt es noch andere Router?


Gruß
Steffen
Bitte warten ..
Mitglied: 85807
24.02.2011 um 19:14 Uhr
Hey Steffen

Liegen an der Firewall alle auf dem Switch exitierenden VLANs an (egal ob taggt oder mit separatem untaggt Port)?

Ja, Am Switch ist ein Port der sogentannte Tagging Port in allen VLANs "fixed" und dieser Port geht zur Firewall.



Werden in allen VLANs verschiedene IP-(Sub)Netze verwendet?

Ja



Ist die Firewall in allen beteiligten Netzen das Standardgateway oder gibt es noch andere Router?

Ja zu Gateway, Nein zu andere Router



Layer 3: IP-Routing beregelt mit Accesslisten

Das is mir zu sehr Hersteller-Fachjargon, kannst du das etwas weiter erläutern was du damit meinst ?
Bitte warten ..
Mitglied: sk
24.02.2011 um 21:15 Uhr
Zitat von 85807:
> Layer 3: IP-Routing beregelt mit Accesslisten
Das is mir zu sehr Hersteller-Fachjargon, kannst du das etwas weiter erläutern was du damit meinst ?

In Deinem Fall halt die USG.


Zitat von 85807:
> Liegen an der Firewall alle auf dem Switch exitierenden VLANs an (egal ob taggt oder mit separatem untaggt Port)?
Ja, Am Switch ist ein Port der sogentannte Tagging Port in allen VLANs "fixed" und dieser Port geht zur Firewall.

> Werden in allen VLANs verschiedene IP-(Sub)Netze verwendet?
Ja

> Ist die Firewall in allen beteiligten Netzen das Standardgateway oder gibt es noch andere Router?
Ja zu Gateway, Nein zu andere Router

ok. Dann spricht doch nichts dagegen, den Zugriff über die Firewall zu regeln.
Ich kenne Eurer Sicherheitskonzept natürlich nicht. Man könnte das Notebook mit einer festen IP-Adresse in eines der VLANs hängen und auf der Firewall nur dieser Absender-IP-Adresse den Zugriff auf die anderen VLANs/Netze gewähren. Welches VLAN man dafür nimmt, müsstest Du entscheiden. Alternativ könnte man ein weiteres (V)LAN/Netz für reine Managementzwecke einrichten und von diesem aus generell den Zugriff auf die anderen Netze gewähren. Der Zugang zu diesem (V)LAN sollte dann allerdings auch physisch kontrolliert sein. Ob man dieses nun über einen Port der Zywall oder am Switch zugänglich macht, hängt von den örtlichen Gegebenheiten und dem Sicherheitserfordernis ab. Ohne Kenntnis der konkreten Umgebung kann ich keine grundlegende Empfehlung geben. Der Konfigurationsaufwand ist natürlich (etwas) geringer, wenn man einen Port an der Zywall nutzt, weil man sich die Switch-Konfig spart. Funktionell besteht kein Unterschied.

Gruß
Steffen
Bitte warten ..
Ähnliche Inhalte
Windows 10
Im Netzwerk werden auf einmal nicht mehr alle Geräte angezeigt
Frage von KlumandaWindows 109 Kommentare

Hallo Leute Habe folgendes Problem und zwar wird mir seit ein paar Tagen im Netzwerk nur mehr mein eigener ...

Netzwerkmanagement
Probleme bei der Konfiguration eines Netzwerks mit mehreren VLans
gelöst Frage von HauresNetzwerkmanagement12 Kommentare

Guten Tag, auf dem Bild seht Ihr meine aktuelle Netzwerkkonfiguration. In dem VLan 10 ist der DHCP 10.10.10.200 als ...

Netzwerkgrundlagen
Sinnvolle Segmentierung des Netzwerks in mehrere VLANs
Frage von j.hartNetzwerkgrundlagen13 Kommentare

Hallo zusammen, vorab: Ich bin kein ausgebildeter IT-Systemintegrator oder Netzwerkadministrator, bin aber im IT Umfeld tätig. Nachdem ich viele ...

LAN, WAN, Wireless
VLAN mit NETGEAR und gemeinsame Geräte
Frage von blue0711LAN, WAN, Wireless5 Kommentare

Hallo, ich habe leider noch keine eingehenden Kenntnisse über VLANs (kompletter Anfänger damit halt) und kämpfe zusätzlich mit der ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 8 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 15 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 16 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 19 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...