Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Layer 2 Firewall - MAC-Tabellen der Switche mit doppelten Einträgen

Frage Netzwerke

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

04.07.2014 um 15:01 Uhr, 1477 Aufrufe, 13 Kommentare

Hallo!

Ich habe gerade hier folgendes Szenario:

ROUTER -> Bridging Firewall -> Server
* VLAN 100 * * VLAN 200 *


Die Bridging-Firewall hängt also mit einem Fuß im VLAN 100 und mit einem Fuß im VLAN 200 auf einem Switch. Spanning-Tree ist auf diesen zwei Ports entsprechend deaktiviert.


Was mich jetzt wunder ist, ob das nicht problematisch ist mit den MAC-access-lists der Switche. Die Firewall arbeitet als dynamische Bridge, die nur filter. Jetzt sind aber die MAC-Adressen in den Access-Listen der Switche sowohl mit VLAN 100, als auch mit VLAN 200 zu sehen. Muss ich dadurch mit Problemen rechnen?




Vielen Dank und Grüße
Phil



Mitglied: aqui
04.07.2014, aktualisiert um 16:17 Uhr
Nein, denn Switches (jedenfalls die besseren..) führen pro VLANs getrennte Forwarding Databases ! Nur routen zwischen diesen VLANs ist damit absolut Tabu, denn das ergibt dann ein ARP Chaos !
VLANs zu bridgen ist aber dennoch kein gutes Design....
Bitte warten ..
Mitglied: Der-Phil
04.07.2014 um 16:43 Uhr
Hallo Aqui!

Dann bin ich beruhigt.

Warum findest Du das kein gutes Design? Hältst Du einfach insgesamt nichts von Filtern auf Layer 2 und würdest immer routen?

Grüße
Phil
Bitte warten ..
Mitglied: Dobby
04.07.2014 um 17:43 Uhr
Hallo,

Warum findest Du das kein gutes Design?
Kann man das mit Switch ACLs nicht auch machen?

Hältst Du einfach insgesamt nichts von Filtern auf Layer 2 und würdest immer routen?
Bridge wenn Du musst und route wenn Du kannst!

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
05.07.2014, aktualisiert um 09:46 Uhr
Hältst Du einfach insgesamt nichts von Filtern auf Layer 2 und würdest immer routen?
Ja. Siehe Zitat vom Kollegen Dobby !
Bitte warten ..
Mitglied: Der-Phil
07.07.2014 um 07:16 Uhr
Hallo!

Meine Layer2-Firewall (Palo Alto PA-3020) macht einfach mehr, als Switch-ACLs können (IPS, AV, Decryption, etc). Layer 3 wäre schon ein echter Kraftakt für mich, weil ich wirklich richtig viel ändern müsste. Das möchte ich eigentlich vermeiden.

Gruß
Phil
Bitte warten ..
Mitglied: Dobby
07.07.2014 um 08:50 Uhr
Meine Layer2-Firewall (Palo Alto PA-3020) macht einfach mehr, als Switch-ACLs können
(IPS, AV, Decryption, etc).
Ne klar ist aber auch ein völlig anderes Gerät und auch nicht nur ein Layer2 Gerät!!!
Denn egal was die kann, entweder Du hast Layer3 Switche oder aber Du brauchst
jemand anderen der zwischen den VLANs routen kann!

Layer 3 wäre schon ein echter Kraftakt für mich, weil ich wirklich richtig viel ändern müsste.
Eigentlich muss man ja nur die VLANs bis auf die Firewall führen, oder?

Das möchte ich eigentlich vermeiden.
So hat sich das auch heraus gelesen.
Nur deshalb mit "port flapping" und "Rx bzw. Tx" "packet loss" zu leben oder aber
sogar das ganze Netzwerk auf tönerne Füße zu stellen ist auch nicht das Wahre.

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
07.07.2014 um 09:21 Uhr
Hey Dobby!

Warum denn port-flapping und packet loss? Eigentlich sollte das auch auch bei Layer2 nicht das Problem sein, oder hast Du das schon so gesehen?

Zu meinem Setup:
Klar könnte ich das irgendwie umbiegen, aber eigentlich möchte ich die Palo-Alto nicht als Edge-Router, weil die IPSec-Konfiguraion so schrecklich ist. Wenn sie hinter dem derzeitigen Router im Layer2 steht, muss ich irgendwie ein Transfernetz "einbiegen". Das würde ich nur machen, wenn es gar nicht anders geht.

Grüße
Phil
Bitte warten ..
Mitglied: Dobby
07.07.2014 um 10:25 Uhr
Warum denn port-flapping und packet loss? Eigentlich sollte das auch auch bei Layer2 nicht das
Problem sein, oder hast Du das schon so gesehen?
Das bezog sich auf das "bridgen" der Ports.

Klar könnte ich das irgendwie umbiegen, aber eigentlich möchte ich die Palo-Alto nicht als Edge-
Router, weil die IPSec-Konfiguraion so schrecklich ist. Wenn sie hinter dem derzeitigen Router im
Layer2 steht, muss ich irgendwie ein Transfernetz "einbiegen". Das würde ich nur machen, wenn es > gar nicht anders geht.
Na dann einfach einen MikroTik RB450G besorgen und dann dazwischen klemmen und gut ist es.
Bei größeren Netzwerken kann es auch ruhig ein RB1200 oder RB1100 sein oder aber ein
RB1100AHx2.

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
07.07.2014 um 10:54 Uhr
Hallo!

Die Palo-Alto kann schon routen, aber ich muss eben irgendwie ein Transfernetz schaffen und das ist nicht ganz ohne. Da hilft mir der MikrotikRouter nicht so viel weiter, obwohl ich die Geräte sehr gerne einsetze.

Für mich ist eher entscheidend: Layer 2 Firewalls haben einen ziemlich schlechten Ruf und ich weiß nicht so ganz, warum. Klar kann ich auf Layer 3 gehen und ein Transfernetz bauen, aber gerade fehlen mir ein paar Argumente, warum.



Grüße
Phil
Bitte warten ..
Mitglied: Dobby
07.07.2014 um 10:59 Uhr
Für mich ist eher entscheidend: Layer 2 Firewalls haben einen ziemlich schlechten Ruf und
ich weiß nicht so ganz, warum. Klar kann ich auf Layer 3 gehen und ein Transfernetz bauen,
aber gerade fehlen mir ein paar Argumente, warum.
Ich denke da muss doch irgend wo einer das Routing übernehmen,
bei Euch im Netzwerk und das sind nicht die Layer2 Switche
und auch nicht eine Layer2 Firewall!

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
07.07.2014 um 11:04 Uhr
Hallo!

Klar!
Mein Setup sieht derzeit so aus:

| | | | |
IPSEC-Router -> Layer 2 Firewall PA-3020 -> IPTables-Firewall -
| | | | |

Die IPTables-Firewall routet zwischen 23 VLANs. Die IPSec-Router möchte ich nicht tauschen und die IPTables-Firewall brauche ich, weil die Palo-Alto nicht schnell genug ist.


Also würde ich, um auf Layer 3 zu bleiben ein Transfernetz brauchen:

Deswegen drücke ich mich davor bzw. suche Argumente dafür, den Aufwand zu betreiben und das Transfernetz einzubinden.

Grüße
Phil
Bitte warten ..
Mitglied: Dobby
07.07.2014 um 11:25 Uhr
IPSEC-Router -> Layer 2 Firewall PA-3020 -> IPTables-Firewall -
Eine ~16000 € NG Firewall ist nicht schnell genug und es sind
noch zwei weitere Router/Firewalls nötig?

PaloAlto Networks
PA-3020


- 2 Gbps firewall throughput (App-ID enabled1)
- 1 Gbps threat prevention throughput
- 500 Mbps IPSec VPN throughput
- 250,000 max sessions
- 50,000 new sessions per second
- 1,000 IPSec VPN tunnels/tunnel interfaces
- 1,000 SSL VPN Users
- 10 virtual routers
- 1/6 virtual systems (base/max2)
- 40 security zones
- 2,500 max number of policies


Ich klinke mich dann mal aus lieber aus.

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
07.07.2014 um 14:02 Uhr
Hallo!

Leider ja. Meine interne Firewall hat zwar nicht den Funktionsumfang der PA, aber sie hat 10 Gbit-Interfaces und kann auch fast so schnell routen.

Beim IPSec-Router sieht es anders aus. Da finde ich einfach den Ansatz von PA nicht wirklich gut und habe Probleme, vernünftig die IPSec-Verbindungen mit Multi-WAN zu implementieren. Meine Router können das einfach besser und die sind eben auch schon konfiguriert und funktionieren ohne irgendwelche Probleme.

Den PA-Cluster habe ich zum Filtern gekauft.

Phil
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Batch & Shell
gelöst Dateien zusammenführen inkl. finden von doppelten Einträgen (3)

Frage von miczar zum Thema Batch & Shell ...

Router & Routing
Verständisfrage Layer 3 Switch - Firewall - VLAN (4)

Frage von praxxzz zum Thema Router & Routing ...

Router & Routing
gelöst Layer 3 Switch Routing nach Firewall (5)

Frage von gansa28 zum Thema Router & Routing ...

Windows Netzwerk
Netzlaufwerk offline verfügbar für Mac

Frage von PharIT zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...