Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Kaufberatung Switch mit Routing und ACL

Frage Hardware Switche und Hubs

Mitglied: lanazy

lanazy (Level 1) - Jetzt verbinden

18.07.2011, aktualisiert 18.10.2012, 4286 Aufrufe, 20 Kommentare

Hallo zusammen,

wir haben auf der Arbeit eine Anforderung für einen zentralen Kommunikationsserver für ein Bürogebäude bekommen.

Habe hier schon einige Beiträge gelesen aber nicht so ganz das richtige gefunden.

Jeder Mieter hat sein eigenes Netzwerk.
Jeder Mieter soll auf den Kommunikationsserver Zugriff haben aber die Mieter dürfen kein Zugriff untereinander haben.

Jetzt habe ich mir gedacht einen Switch zu nehmen, an die alle Mieter mit VLAN angeschlossen werden, und geroutet wird.
In anderen Beiträgen habe ich etwas von ACL gelesen. Verstehe ich das richtig, das man damit Traffic nur auf bestimmte IP Adressen/Netze
erlauben oder verbieten kann ?

Welche Switche sind für das obige Szenario geeignet ?

Gerne könnt ihr schreiben, welche ältere Switche das können, die man z.B. bei eBay gebraucht bekommen kann.
Würde mir gerne einen für Test- und Übungszwecke kaufen.

Danke
lanazy
Mitglied: mrtux
18.07.2011 um 01:07 Uhr
Hi !

Du könntest evt. auch einen L2 Switch verwenden, der eine "Private VLAN" (Cisco Jargon) Funktion bereitstellt. Andere Hersteller nennen diese Funktionalität oft auch FTU-VLAN, weil alle Ports des Switches nur mit einem gemeinsamen Uplink-Port Verbindung haben jedoch nicht untereinander. Der Vorteil (wenn man es so nennen darf) liegt darin, dass L2 Switche natürlich wesentlich preisgünstiger sind, der Nachteil ist, dass solche Switche natürlich nicht routen können, die Clients sich also im gleichen Netzwerksegment sind, sich jedoch nicht gegenseitig sehen können.

Wir haben solche Switche z.B. in Hotels für die Trennung der einzelnen Zimmer untereinander (bzw. WLAN APs) im Einsatz.

mrtux
Bitte warten ..
Mitglied: dog
18.07.2011 um 01:44 Uhr
in Hotels für die Trennung der einzelnen Zimmer untereinande

Da ist das ja auch gedacht.

Jeder Mieter hat sein eigenes Netzwerk.

Dafür sollte man das aber nicht benutzen.
Bitte warten ..
Mitglied: mrtux
18.07.2011 um 02:11 Uhr
Hi !

Zitat von dog:
> Jeder Mieter hat sein eigenes Netzwerk.

Dafür sollte man das aber nicht benutzen.

Ja, ich stimme Dir da grundsätzlich zu! Bei Mietparteien ist das nicht wirklich ratsam aber rein technisch gesehen machbar. Aber dieses Problematik sehe ich auch, wenn er (ohne durchdachtes Sicherheitskonzept) einfach zwischen den Mietwohnungen routet....

mrtux
Bitte warten ..
Mitglied: brammer
18.07.2011 um 06:30 Uhr
Hallo,

ich kann euch nur raten das ihr euch die Hilfe eines Systemhauses holt!
In einer solchen Umgebung tretet ihr quasi als Provider auf!
Daher sollte sich jemand intensiv mit diesem Thema beschäftigen, und das Konzept dafür erarbeiten.
In Frage kommen hier auf jeden Fall nur Geräte der Professionellen Liga also Hersteller wie Cisco, Entensys oder HP.
Wobei ich mich immer für Cisco entscheiden würde.

Für deine Testumgebung kannst du ja mal bei ebay und Konsorten nach Cisc 3560 als Layer 3 oder Cisco 2960 als Layer 2 Switch schauen.

brammer
Bitte warten ..
Mitglied: funnysandmann
18.07.2011 um 10:18 Uhr
Guten Morgen,

habe vorige Woche erst zwei HP ProCurve 1810G-24 eingebaut und muss sagen, diese Dinger sind super.
Du kannst mehr als 2000VLANs erstellen usw. schau es dir einfach mal online an.

Nun zu deinem Problem:
Also wenn du jedem deiner Mieter einen festen IP-Bereich gibst könntest du das dadurch lösen, dass du im IP Adressenbereich:
Mieter 1 10.0.1.x
Mieter 2 10.0.2.x
Mieter 3 10.0.3.x etc.

das ganze musst du natürlich auf dem Switch noch so konfigurieren das jeder Mieter der einen Port auf dem Switch hat sein eigenes VLAn hat damit nicht ein schalauer mieter seine ip ändert und dann beim nachbar drinnen ist.
dann stellste am Trunk Port (Uplink Port wo alle VLANs drüber laufen) z.b. ein Linux Firewall distribution hin wie IPfire. dort machst du dann deinen virtuellen devices mit den VLAN tags und den IP bereichen und diese routet die netzwerke dann weiter in das Internet und zum deinem Kommunikationsserver der an einer anderen Netzwerkkarte von der Ipfire hängt.

Natrlich bist du nicht auf HP festgelegt, dies könnne ebenfalls wie es brammer schon schrieb: Cisco oder evtl. sogar Netgear Switche sein.
Aber ich finde dabei HP am besten bestes Preisleistungsverhältnis und die Konfiguration geht schön von der Hand.


Gruß
Bitte warten ..
Mitglied: Hitman4021
18.07.2011 um 10:27 Uhr
Hallo,

wir haben das etwas anders gelöst und sicher auch etwas teurer.
Wir haben jedem Mieter an einem Juniper J2320 Router angesteckt eine Firewall dazwischen und dann eine eigene öffentliche IP.
Ist zwar etwas Kostenintensiver aber da wir genug IP-Adressen hatten (langsam werden die wirklich knapp) und da das für Firmen die beste Lösung ist um eigene Server dahinter zu hosten.

Gruß
Bitte warten ..
Mitglied: aqui
18.07.2011, aktualisiert 18.10.2012
Von den HPs kann man dir nur dringend abraten. Die supporten weder private VLANs noch einigermaßen gescheite Accesslisten auf IP Basis.
Sieh dich nach alten Cisco 2950ern oder 3550ern um bei eBay, da hast du das rundum sorglos Programm und kannst deine Lösung dann entweder mit gerouteten und gesicherten Layer 3 Netzwerken pro Kunde lösen oder eben mit den sog. private VLANs.
Auch eine Lösung mit einem simplen einfachen Layer 2 Switch und einer Router/Firewall wie hier im Tutorial beschrieben:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
ist problemlos und preiswert möglich mit einem billigen Web Smart Switch.
Alle Optionen führen zum Erfolg ! Such dir die schönste und für dich passenste aus !
Bitte warten ..
Mitglied: funnysandmann
18.07.2011, aktualisiert 18.10.2012
Von den HPs kann man dir nur dringend abraten. Die supporten weder private VLANs noch einigermaßen gescheite Accesslisten
auf IP Basis.
ah ja und woher weißt du das die keine VLANs supporten?
hast du dir den 1810-24 mal angesehen?

Auch eine Lösung mit einem simplen einfachen Layer 2 Switch und einer Router/Firewall wie hier im Tutorial beschrieben:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
ist problemlos und preiswert möglich mit einem billigen Web Smart Switch.
ja genau ist problemlos möglich daher war auch mein rat an den HP ProCurve 1810 der oh wunder ein"Web Smart Switch ist"!

gruß

aber um beim Thema zu bleiben gibt viele Möglichkeiten du musst nur eine nehmen und diese richtig machen!
Allerdings solltest du immer ein besonderes Augenmerk auf die Sicherheit legen.
Bitte warten ..
Mitglied: aqui
18.07.2011 um 11:40 Uhr
@funnysandman
Bitte lese dir den Thread einmal richtig durch ! Es geht NICHT um VLANs allgemein sondern um die Funktion private VLANs
http://en.wikipedia.org/wiki/Private_VLAN
Also eine geblockte Broadcast Domain in einem VLAN. Das kann Billigheimer HP nicht...jedenfalls nicht auf den Procurve Gurken....und erst recht nicht auf dem 1810.
Fazit: Erst lesen, dann verstehen, dann motzen....
Bitte warten ..
Mitglied: dog
18.07.2011 um 11:45 Uhr
Das kann Billigheimer HP nicht...jedenfalls nicht auf den Procurve Gurken....

Port Isolation kann HP auch, zumindest auf den richtigen Switchen.

Die komischen 17xx/18xxer sind trotzdem niemals zu empfehlen und machen den Eindruck, als wären es nur umgelabelte Netgears (mit einem Access Point hat HP das ja schon mal gemacht)
Bitte warten ..
Mitglied: funnysandmann
18.07.2011 um 11:51 Uhr
Zitat von aqui:
@funnysandman
Bitte lese dir den Thread einmal richtig durch ! Es geht NICHT um VLANs allgemein sondern um die Funktion private VLANs
http://en.wikipedia.org/wiki/Private_VLAN
Also eine geblockte Broadcast Domain in einem VLAN. Das kann Billigheimer HP nicht...jedenfalls nicht auf den Procurve Gurken....

also erstens dein Link auf Wikipedia beschreibt einfach VLANs ob Privat oder nicht. Das was da beschrieben wird ist die Beschreibung der VLANs. Aber egal.


Ich wollte hier keine Krieg entfachen nur meine Meinung dazu sagen. Da ich diese Switche nun erst vor kurzem Installiert habe und die Konfiguration gut von der Handy ging und das mit der Webconfig.
Von der Stabilität her finde ich die Dinger auch super.
Allerdings muss man natürlich auch die Preisklasse einfach sehen ich meine so ein Switch kostet um die 200€ und für diese Kategorie sind die echt super und VLAN können sie auch und vorallem Portbasiertes VLAN.
@dog
Wieso bist du der Meinung? Schlechte Erfahrung gemacht?

Gruß
Bitte warten ..
Mitglied: dog
18.07.2011 um 11:55 Uhr
also erstens dein Link auf Wikipedia beschreibt einfach VLANs ob Privat oder nicht. Das was da beschrieben wird ist die Beschreibung der VLANs. Aber egal.

Du hast den Artikel nicht gelesen, oder?
Zumindest hast du ihn nicht verstanden.

Private VLANs oder Port Isolation beschreibt eine Technik, bei dem die einzelnen Ports in einem VLAN nicht untereinander, sondern nur mit einem ganz bestimmten Port kommunizieren dürfen - das ist ein ganz klarer Unterschied zu regulären VLANs (und geht zum Teil ganz Ohne).

Wieso bist du der Meinung? Schlechte Erfahrung gemacht?

Ich habe mittlerweile richtige HP-Switche und dann nerven einen die komischen Teile nur noch.
Allein die VLAN-Konfiguration in dem Klickbunti ist 3x so kompliziert wie auf der Konsole von einem normalen HP Switch.
Bitte warten ..
Mitglied: funnysandmann
18.07.2011 um 12:14 Uhr
Das die Konfiguration mit der Konsole leichter ist als übers Webinterface bestreite ich nicht. Aber es soll leute geben die solch etwas sogar wollen.


Ja ich habe es schon gelesen aber ich habe es falsch verstanden. Mein Fehler.

Aber wo liegt denn nun solch ein Sinn?? ich meine dafür wurden doch die VLANs gemacht damit alle Ports die im gleichen VLAN sind miteinander reden können und alle anderen nicht.

Ich meine er kann ja auch einfach für jeden Mieter ein VLAN kreieren oder nicht?
Bitte warten ..
Mitglied: aqui
18.07.2011 um 14:57 Uhr
@funnysandman
Nur mal 2 dumme Beispiele damit du es auch verstehst:
Du bist in einem Hotel und hast alle Gästezimmer in einem VLAN. In dieser Situation kann jeder Gast mit jedem kommunizieren und jeder Gast kann auf dem Rechner aller anderen Gäste rumschnüffeln. Will man das...? Rechtlich gilt das Hotel dann als "Mitverursacher" bei der Datenmanipulation.
Provider mit Kabelnetzwerk. In der letzten Meile hängen alle Teilnehmer an einem Segment (VLAN). Macht dort mal spaßeshalber einer seine Winblows Netzwerkumgebung auf sieht er alle seine Nachbarn dort. Gleiches Schnüffelszenario und jeder kann mit jedem wie im Hotel.
Auch das ist nicht gewollt.
Folglich richtet man Private VLANs oder Isolatet VLANs ein die verhindern das nämlich indem sie keinen Broad- und Multicasts an die VLAN Member Ports fluten sondern nur an dedizierte Uplink Ports. In diesem Falle ist es also ziemlich kontraproduktiv wenn alle Ports mit allen reden können, denn genau DAS will man ja nicht und unterbindet es durch den Broadcast Filter ! Daran scheitert allein schon ein ARP und damit jeglicher Verbindungsaufbau im OSI Layer 2.
Es gibt zig weitere solcher Beispiele wie auch das von oben für Private oder Isolated VLANs. Vermutlich reichte dein technischer Horizont nicht bis dahin das zu verstehen...dann sollte man aber wenigstens lesen und warten bis das aha Erlebnis kommt wenn das schon in einer Extra Einladung stand.
Die Billigheimer Procurve Serie kann das eben nicht...wie so viele Features die HP nicht kann. Aber billig können sie wenigstens....das ist unbestreitbar.
So, und nun ist Kollege lanazy wieder dran in der Hoffnung das ihn diese Tipps weiterbringen.. ??!!
Bitte warten ..
Mitglied: lanazy
18.07.2011 um 21:38 Uhr
Hallo,

das mit dem "Private VLAN" wusste ich auch noch nicht. Hier kann man echt was lernen

Ich habe das Gefühl, das es mit dem Kommunikationsserver missverstanden wird, von wegen Sicherheit. Das ist eigentlich eine IP Sprechanlage, also ein Stück Hardware mit ein paar Karten, KEIN PC !

Das Tutorial von aqui hatte ich schon gesehen. Übrigens eine sehr gute Anleitung.
Aber mit einem PC möchten wir das nicht machen. Was gäbe es für Hardware Router die das können ?

Wäre euch dankbar, wenn ihr einige Switche die das alleine können oder Hardware Router nennen könntet, womit man das realisieren kann.
Muss nicht das teuerste vom teuersten sein und sollte von einem halbwegs normalen Menschen konfigurierbar sein

Dann kann man das preislich mal gegenüberstellen.

Also, wenn ihr Geräte kennt, bitte schreiben.

lanazy
Bitte warten ..
Mitglied: lanazy
18.07.2011 um 21:47 Uhr
Ach so,

hab ich noch vergessen. Ich bin beim suchen über einen z.B Cisco SF300-24 (SRW224G4-K9) Switch gestossen.
Wenn ich mir das so durchlese, würde ich sagen, mit dem müsste das zu machen sein.

Irre ich mich da, oder würde das mit dem Switch alleine gehen ?

lanazy
Bitte warten ..
Mitglied: dog
19.07.2011 um 00:44 Uhr
Ich habe auch einen von den 300ern hier.
Das ist zwar eigentlich ein Linksys-Switch, aber hat ein wirklich brauchbares Webinterface und die Konsole ist sehr stark an Cisco angelehnt.
Der Switch hat auch einen recht großen Feature-Umfang für den Preis.

Da er Routing und ein paar ACLs kann müsste es damit gehen, wobei ich es eher so machen würde:

Jeder Mieter muss sich einen eigenen Router besorgen.
Die Router werden alle an einen Switch (beliebig dumm) angesteckt und an dem hängt ein Router/Firewall fürs Internet und zum Netz mit den gemeinsamen Geräten.
Bitte warten ..
Mitglied: lanazy
20.07.2011 um 00:39 Uhr
Guten Abend,

@dog
habe mir ein kleinen Switch der 300er Serien bestellt. Werde es damit mal testen.
Das mit den Routern für jeden Mieter ist zu viel Aufwand, auch später wenn es um Support geht. Da müsste man an zu vielen Stellen gucken.
Wir würden das lieber Zentral haben wollen. Je weniger Geräte desto besser.

Deshalb nochmal an ALLE. Schreibt bitte, welche Switch Modelle das geforderte alleine oder in Verbindung mit Hardware Router können.
Bitte warten ..
Mitglied: mrtux
21.07.2011 um 03:21 Uhr
Hi !

Zitat von dog:
Port Isolation kann HP auch, zumindest auf den richtigen Switchen.

Absolut richtig und bei den Älteren kann man das per Firmware-Update nachrüsten...

Die komischen 17xx/18xxer sind trotzdem niemals zu empfehlen und machen den Eindruck, als wären es nur umgelabelte Netgears
(mit einem Access Point hat HP das ja schon mal gemacht)

Die können sowieso kein Private VLAN und sind in der Tat.......Weitere Worte sparen ich mir...

mrtux
Bitte warten ..
Mitglied: aqui
21.07.2011, aktualisiert 18.10.2012
Jeder simple, popelige Layer 2 Switch der VLANs kann und damit managebar ist kann das in Verbindung mit einer 802.1q (VLAN) fähigen Firewall/Router.
Wie das dann geht findest du hier haarklein beschrieben:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Damit ist das einfach und im Handumdrehen für kleines Geld sauber umzusetzen.

Wenn du es nur mit einem Switch machen willst MUSST du einen Layer 3 (Routing) fähigen Switch haben der auch detailierte Accesslisten für die Zugangskontrolle supportet.
So einfach und simpel ist das....!
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Router & Routing
gelöst Layer 3 Switch Routing nach Firewall (5)

Frage von gansa28 zum Thema Router & Routing ...

Hyper-V
Windows Server 2012 R2 NIC Teaming mit Lancom Switch (3)

Frage von onkel87 zum Thema Hyper-V ...

Router & Routing
gelöst VLAN Routing mit Netgear GS724Tv4 (7)

Frage von stpb10 zum Thema Router & Routing ...

Switche und Hubs
gelöst Trunk für 2xCisco Switch. Wo liegt der Fehler? (43)

Frage von JayyyH zum Thema Switche und Hubs ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...