Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ein Gerät zur Überwachung mehrerer VLAN Netzwerke

Frage Netzwerke Router & Routing

Mitglied: stormwind81

stormwind81 (Level 2) - Jetzt verbinden

24.02.2011 um 10:31 Uhr, 6914 Aufrufe, 12 Kommentare

Hallo,

Wir benutzten "The Dude" als Netzwerkplanungs und Überwachungssoftware.
Jetzt haben wir ein Netzwerk das in mehrere VLANs geteilt ist. Wir wollen aber hier mit einem NB auf dem "The Dude" installiert ist zugriff zu allen VLANs haben und diese dann mit diesem Gerät überwachen können.
Die Hardware ist folgende:
Switch: Zyxel ES-2024
Firewall: Zywall USG 100

Die VLANs sind jetzt so konfiguriert, dass jedes Netz seinen Internetzugang hat und nicht in das andere kommt.
Mir fehlt eine Gedankenbrücke wie ich es jetzt nun anstelle, dass das NB trotzdem in jedes VLAN mit snmp kommt.
Mitglied: sk
24.02.2011 um 10:37 Uhr
Wo ist das Problem? Gestatte auf der Firewall dem Notebook Zugriff auf alle VLANs per SNMP.

Gruß
sk
Bitte warten ..
Mitglied: funnysandmann
24.02.2011 um 12:50 Uhr
Switch: Zyxel ES-2024
Firewall: Zywall USG 100

Die VLANs sind jetzt so konfiguriert, dass jedes Netz seinen Internetzugang hat und nicht in das andere kommt.
Mir fehlt eine Gedankenbrücke wie ich es jetzt nun anstelle, dass das NB trotzdem in jedes VLAN mit snmp kommt.


Ich nehme mal an das der Switch managbar ist, da er sonst keine VLAN könnte?

wenn das so ist, dann gibt es irgendwo die Option für einen Port als Trunkport, das Bedeutet dieser Port bekommt alle VLANs zugewiesen, sprich zguriff darauf ist genau für solche Sachen gemacht.
Bitte warten ..
Mitglied: sk
24.02.2011 um 13:03 Uhr
Zitat von funnysandmann:
wenn das so ist, dann gibt es irgendwo die Option für einen Port als Trunkport, das Bedeutet dieser Port bekommt alle VLANs
zugewiesen, sprich zguriff darauf ist genau für solche Sachen gemacht.

Dann muss das Notebook allerdings auch taggen können.
Vorsicht ist zudem beim Begriff "Trunk" angebracht: Zyxel versteht darunter etwas anderes als Cisco.

Gruß
sk
Bitte warten ..
Mitglied: funnysandmann
24.02.2011 um 13:40 Uhr
Vorsicht ist zudem beim Begriff "Trunk" angebracht: Zyxel versteht darunter etwas anderes als Cisco.
Das wusste ich nicht. OK

Einen PC/NB kann man doch nur in ein VLAN bringen nicht in alle deswegen braucht man am Switch einen Monitorport!

Gruß Max
Bitte warten ..
Mitglied: stormwind81
24.02.2011 um 14:30 Uhr
Momemtan ist das NB am Switch auf Port 24 angeschlossen.

Unter den VLAN Port Settings gibt es die Option zum Anhacken "VLAN Trunking"
Ist jetzt wirklich die Frage ob Zyxel das darunter versteht was ich benötige oder was anderes.
Bin jetzt nicht mehr vor Ort und will das nicht per Fernwartung ausprobieren.
Also "tagging" müsste die Netzwerkkarte im Notebook können sonst geht das nicht?
Anderenfalls steck ich das NB auf die Firewall und lass dort per Firewall-Regel den Zugriff zu allen VLANs zu.

Hab ich das so richtig verstanden?
Bitte warten ..
Mitglied: funnysandmann
24.02.2011 um 14:34 Uhr
Also mein Ansatz wäre VLAN trunking zu aktivieren und damit kannste mit Wireshark nachschauen und müsstest eigentlich jedes Netz sehen können.

das mit tagging kann jede neue Netzwerkkarte aber dies bedeutet nur das man einer netzwerkkarte EIN bestimmtes VLAN zuweißen kann auf das es hört.

den anderne Ansatz von sk verstehe ich selbst nicht was er genau meint. Sorry.

ich informiere mich mal über das zyxel VLAN.

gruß
Bitte warten ..
Mitglied: funnysandmann
24.02.2011 um 14:41 Uhr
Zitat von stormwind81:
Momemtan ist das NB am Switch auf Port 24 angeschlossen.

Unter den VLAN Port Settings gibt es die Option zum Anhacken "VLAN Trunking"


ähm hast du unter Management -> Switch Setup -> Port Based oder 802.1Q für vlans konfiguriert???


Link: http://www.zyxeltech.de/webGUI/ES2024A/3.60(TX.0)C0/rpSys.html

der User Guide von dem Switch:

Seite 93 -> VLAN Trunking.
http://www.zyxel.de/web/support_download_detail.php?sqno=4086856

wenn ich es richtig verstanden habe ist es so wie ich gesagt habe.

Gruß
Bitte warten ..
Mitglied: stormwind81
24.02.2011 um 17:28 Uhr
Also VLAN Type ist: 802.1Q

Das Handbuch zeigt einem leider auch nur wie man was Einstellen kann, aber die Erklärung warum und weshalb man es so einstellen könnte fehlt oder ist für mich nicht verständlich.
Und laut Handbuch ist VLAN Trunking nur wichtig wenn man mehrere Switches hat und die VLANs nicht auf jedem einrichten möchte, somit das die VLAN IDs weitergeleitet werden können auch wenn der Switch keine Ahnung hat was für eine VLAN ID da gerade auf dem Port rein kommt.

Wenn dem nicht so ist klärt mich bitte auf.

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: funnysandmann
24.02.2011 um 18:07 Uhr
Ja genau so ist es siehst du worauf ich hinaus will ob nun auf dem Port ein weiterer Switch hängt der alle VLANs bekommt oder eurer NB steht der alle empfangen kann ist egal!!

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: sk
24.02.2011 um 18:30 Uhr
Hallo,


Zitat von stormwind81:
laut Handbuch ist VLAN Trunking nur wichtig wenn man mehrere Switches hat und die VLANs nicht auf jedem einrichten
möchte, somit das die VLAN IDs weitergeleitet werden können auch wenn der Switch keine Ahnung hat was für eine VLAN
ID da gerade auf dem Port rein kommt.

Richtig. Mit der Option "VLAN Trunking" meint Zyxel in der Tat eine Art VLAN-ID-Passthrough. Genau genommen bezieht sich diese Option auch nur auf Port-ausgehenden Verkehr. Denn ob eine unbekannte VLAN-ID eingehend angenommen wird, steuert man über den Ingress-Check. Bei Zyxel sind grundsätzlich alle Switchports sog. Hybridports - d.h. sie nehmen sowohl untaggt als auch .1q-taggt Traffic an, sofern man dies nicht aktiv unterbindet. Per Default nehmen Sie sogar unbekannte VLAN-IDs eingehend an. Was man dann allerdings mit diesem Traffic anstellt, ist eine andere Geschichte. Per Default wird der Traffic verworfen, weil es keine Member dieses VLANs gibt. Man könnte aber auch den eingehenden Traffic per Policy behandeln und so z.B. die ID umschreiben, auf einem bestimmten Port ausgeben, priorisieren, limitieren, blocken oder was auch immer. Oder man kann bei Bedarf eben auch sämtlichen Traffic mit unbekannten IDs auf einem oder mehreren Ports ausgeben, ohne dass diese Ports Member dieses VLANs wären und ohne dass dieses VLAN auf dem Switch überhaupt angelegt wäre. Das ist die Option "VLAN Trunking" - meines Wissens nicht deckungsgleich mit der gleichbetitelten Funktionalität bei Cisco.
Ansonsten versteht Zyxel (aber auch andere Hersteller) unter dem Begriff "Trunking" normalerweise die Lastverteilung auf mehreren Links. Bei Switches auf Layer 2 - bei den USG-Firewalls auf Layer 3.


Zitat von funnysandmann:
deswegen braucht man am Switch einen Monitorport!
...
Also mein Ansatz wäre VLAN trunking zu aktivieren und damit kannste mit Wireshark nachschauen und müsstest eigentlich
jedes Netz sehen können.

Ein Monitorport ist wiederum etwas anderes als ein Trunkport (im Cisco-Jargon) und hier nicht hilfreich. Es geht dem TO ja nicht darum, Traffic aus den anderen VLANs auszuwerten, sondern in ein anderes VLAN (per SNMP) zugreifen zu können.


Zitat von funnysandmann:
Einen PC/NB kann man doch nur in ein VLAN bringen nicht in alle
...
das mit tagging kann jede neue Netzwerkkarte aber dies bedeutet nur das man einer netzwerkkarte EIN bestimmtes VLAN zuweißen
kann auf das es hört.

Jain! Es gibt sehrwohl Netzwerkkartentreiber, die mehrere virtuelle Netzwerkarten simulieren, welche dann unterschiedliche VLANs taggen. Hierbei handelt es in der Regel um Server-NICs. Und auf einem Server sollte ein (permanentes) Monitoring-System meiner Meinung nach laufen - nicht auf einem Notebook!
Es gibt aber auch .1q-fähige Geräte, die nur eine VLAN-ID taggen können. Bei Notebooks und bei modernen Client-NICs ist dies die Regel.
Und natürlich gibt es .1q-unaware Geräte, die an einem untaggt Port angeschlossen werden und sich logischer Weise auch nur in einem VLAN befinden können. Jedenfalls bei statischen VLANs. Es gäbe ja auch noch die Möglichkeit, dass der Switch den Traffic analysiert und je nach Kriterium in unterschiedliche VLANs packt. Aber das führt jetzt zu weit.


Zitat von stormwind81:
Also "tagging" müsste die Netzwerkkarte im Notebook können sonst geht das nicht?

Wenn das Notebook sich gleichzeitig in mehreren VLANs befinden soll, dann muss es wie oben beschrieben mehrere virtuelle Netzwerkkarten mit unterschiedlichen VLAN-IDs haben und an einem Switchport hängen, der Member in allen VLANs ist und diese VLAN-IDs seinerseits ausgehend taggt.
Die Alternative wären mehrere physische Netzwerkkarten, welche jeweils mit einem (untaggt) Switchport in jedem VLAN verbunden sind. Ich habe aber noch keine Notebooks mit mehreren NICs gesehen...

Generell muss man aber zwischen der Zugehörigkeit zu einem VLAN und der Möglichkeit, auf ein anderes VLAN zuzugreifen, unterscheiden! Dir geht es hier doch um den Zugriff und nicht um die Mitgliedschaft in einem VLAN!
Der VLAN-übergreifende Zugriff kann - je nach Anforderungen und den Möglichkeiten der eingesetzten Systeme - sowohl auf Layer 2 als auch auf Layer 3 ermöglicht werden. Der vorhandene Zyxel-Switch ließe sogar eine Lösung auf Layer 2 auf zwei verschiedene Arten zu: Entweder im Betriebsmodus "Port Based" per Zugriffsmatrix oder im Dot1q-Modus per sog. asymmetrischen VLAN. Beides ist hier aber unnötig! Nimm einfach - wie ich von Anfang an vorgeschlagen habe - die Lösung auf Layer 3: IP-Routing beregelt mit Accesslisten. Es ist doch alles da, was dafür erforderlich ist und es ist die einfachste und sicherste Möglichkeit!


Zitat von stormwind81:
... steck ich das NB auf die Firewall und lass dort per Firewall-Regel den Zugriff zu allen VLANs zu.
Hab ich das so richtig verstanden?

Liegen an der Firewall alle auf dem Switch existierenden VLANs an (egal ob taggt oder mit separatem untaggt Port)?
Werden in allen VLANs verschiedene IP-(Sub)Netze verwendet?
Ist die Firewall in allen beteiligten Netzen das Standardgateway oder gibt es noch andere Router?


Gruß
Steffen
Bitte warten ..
Mitglied: stormwind81
24.02.2011 um 19:14 Uhr
Hey Steffen

Liegen an der Firewall alle auf dem Switch exitierenden VLANs an (egal ob taggt oder mit separatem untaggt Port)?

Ja, Am Switch ist ein Port der sogentannte Tagging Port in allen VLANs "fixed" und dieser Port geht zur Firewall.



Werden in allen VLANs verschiedene IP-(Sub)Netze verwendet?

Ja



Ist die Firewall in allen beteiligten Netzen das Standardgateway oder gibt es noch andere Router?

Ja zu Gateway, Nein zu andere Router



Layer 3: IP-Routing beregelt mit Accesslisten

Das is mir zu sehr Hersteller-Fachjargon, kannst du das etwas weiter erläutern was du damit meinst ?
Bitte warten ..
Mitglied: sk
24.02.2011 um 21:15 Uhr
Zitat von stormwind81:
> Layer 3: IP-Routing beregelt mit Accesslisten
Das is mir zu sehr Hersteller-Fachjargon, kannst du das etwas weiter erläutern was du damit meinst ?

In Deinem Fall halt die USG.


Zitat von stormwind81:
> Liegen an der Firewall alle auf dem Switch exitierenden VLANs an (egal ob taggt oder mit separatem untaggt Port)?
Ja, Am Switch ist ein Port der sogentannte Tagging Port in allen VLANs "fixed" und dieser Port geht zur Firewall.

> Werden in allen VLANs verschiedene IP-(Sub)Netze verwendet?
Ja

> Ist die Firewall in allen beteiligten Netzen das Standardgateway oder gibt es noch andere Router?
Ja zu Gateway, Nein zu andere Router

ok. Dann spricht doch nichts dagegen, den Zugriff über die Firewall zu regeln.
Ich kenne Eurer Sicherheitskonzept natürlich nicht. Man könnte das Notebook mit einer festen IP-Adresse in eines der VLANs hängen und auf der Firewall nur dieser Absender-IP-Adresse den Zugriff auf die anderen VLANs/Netze gewähren. Welches VLAN man dafür nimmt, müsstest Du entscheiden. Alternativ könnte man ein weiteres (V)LAN/Netz für reine Managementzwecke einrichten und von diesem aus generell den Zugriff auf die anderen Netze gewähren. Der Zugang zu diesem (V)LAN sollte dann allerdings auch physisch kontrolliert sein. Ob man dieses nun über einen Port der Zywall oder am Switch zugänglich macht, hängt von den örtlichen Gegebenheiten und dem Sicherheitserfordernis ab. Ohne Kenntnis der konkreten Umgebung kann ich keine grundlegende Empfehlung geben. Der Konfigurationsaufwand ist natürlich (etwas) geringer, wenn man einen Port an der Zywall nutzt, weil man sich die Switch-Konfig spart. Funktionell besteht kein Unterschied.

Gruß
Steffen
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Batch & Shell
Batch zum bearbeiten mehrerer CSV (2)

Frage von Matzus87 zum Thema Batch & Shell ...

Router & Routing
gelöst VLAN Routing mit Netgear GS724Tv4 (7)

Frage von stpb10 zum Thema Router & Routing ...

Sicherheits-Tools
Anti-Schnüffler-Tool SAMRi10 soll Windows-Netzwerke schützen

Link von AnkhMorpork zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...