Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sinnvolle Netzwerkkonfiguration in Verbindung mit SophosUTM 9.3

Frage Netzwerke LAN, WAN, Wireless

Mitglied: JohnDorian

JohnDorian (Level 1) - Jetzt verbinden

10.02.2015 um 16:18 Uhr, 1151 Aufrufe, 6 Kommentare, 2 Danke

Hallo Friends,

ich bin Systemadministrator in einem mittelständischen Unternehmen mit 250 Mitarbeitern, ca 100 PC-Clients und 10 Servern.
Ist zustand:
- ein IP-Adressbereich für alles (192.168.10.0/24)
- Sophos UTM (auf Sophos SG230) dient als Firewall, Proxy-Server, macht NAT und WLAN-AP-Verwaltung

Das soll sich aber ändern, denn wie wir alle wissen, ist es nicht gut alle Geräte in ein Subnetz zu werfen und außerdem werden die Adressen knapp so langsam :D

Jetzt ist die große Frage, wie ich unser Netzwerk sinnvoll umstelle, damit wir nachher mehr Sicherheit und mehr IP-Adressen bei gleichbleibender Performance und Funktionalität haben.

Ich habe dazu nun 2 Ansätze und will von Euch wissen, welcher der gebräuchlichere Wäre, bzw ob es noch einen Besseren gibt.

Ansatz 1:

- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht der zentral(st)e Switch anhand von VLAN-Interfaces, welche die Standard-Gateways der Clients in den VLANs sind
- Standard-Gateway des zentralen Switches ist die SophosUTM welche nur mit den Paketen in Berührung kommt, die im internen Netz keinen Emfpänger finden. Diese werden dann (ggf.) durch den Proxy und durch die Firewall ins große weite Internet geroutet.
- Die SophosUTM hängt dabei (evtl.) in einem separaten VLAN (?)
- Auf der SophosUTM wird die Rückroute von extern in die internen Netze konfiguriert

Ansatz 2:

- separate VLANs für Server, Verwaltung, Produktion, Drucker
- Inter-VLAN-Routing macht die SophosUTM anhand von VLAN-Interfaces, die auf dem physikalischen Interface der SophosUTM liegen, welches am zentralen Switch hängt.
- Dadurch lässt sich die Firewall auch zwischen die einzelnen VLAN's schalten
Nachteil müsste hier ja sein, dass jedes Paket, welches nicht im eigenen VLAN bleibt (also quasi ein Großteil der Pakete) über das eine Interface der SophosUTM muss... was diese Performancetechnisch eigentlich nicht aushalten könnte - macht dieser Ansatz dann überhaupt Sinn?
... hach, welche erkentnisse einem beim Schreiben seiner Probleme manchmal kommen...

Vielen Dank schonmal für alle Antworten und Tips!

Grüße, J.D.
Mitglied: DerSchorsch
10.02.2015 um 17:40 Uhr
Hallo,

beide Varianten funktionieren.
Ansatz 1 ist performanter, Ansatz 2 sicherer.
Wenn du keine Kompromise bei Performance eingehen willst, ist es #1.
Das ist auch ausbaufähiger im LAN, also z.B. wenn du die Server mal per 10GE anbinden oder Storage-Systeme hinzufügen willst.
Es gibt durchaus Switches, die bis zu einem gewissen Grad ACLs können. Das ist jetzt nicht so detailiert, wie die UTM es mit ihrem IPS kann, aber im LAN häufig ausreichend. Was da möglich ist, hängt aber davon ab, welche Switch-Hardware ihr habt.

Gruß
Bitte warten ..
Mitglied: aqui
10.02.2015 um 21:12 Uhr
Bei der Netzwerkgröße ist der Ansatz 1 besser.
Gute L3 Switches bieten heute die Option von Accesslisten mit denen sich eine grundlegende Sicherheit schaffen lässt.
Die Sophos ist viel zu klein um performantes VLAN Routing skalierbar zu realisieren.
Besser also du verfolgst Option 1.
Bitte warten ..
Mitglied: JohnDorian
11.02.2015 um 08:44 Uhr
Sehr geil, vielen Dank Euch beiden! Das bestätigt meinen Gedankengang.

Mein Zentralswitch wäre momentan ein HP 2530-48G - funktionell wäre der höchstwarscheinlich ausreichend. Was wäre aber der Unterschied zu einem Switch (z.B. von HP) der über 1000€ liegt? Gibt es da wesentliche Vorteile, die eine Investition rechtfertigen würden?

Grüße, JD
Bitte warten ..
Mitglied: aqui
11.02.2015 um 09:37 Uhr
wäre momentan ein HP 2530-48G
Igitt...schon wieder HP. Keine gute Wahl bei Layer 3 denn da ist HP traditionell sehr schwach....jedenfalls mit den billigen ProCurve Produkten.
Sieh lieber mal über den Horizont auf andere Hersteller die das besser können.
Bitte warten ..
Mitglied: JohnDorian
11.02.2015 um 10:48 Uhr
Alles klar, ja hab ich auch schon gehört, dass das nicht das gelbe vom Ei ist. Ich tendiere gerade auch eher in Richtung eines "richtigen" Layer 3 Core-Switches, also einen mit SFP-Ports der dann eben auch das Routing übernimmt. Gibt es da beliebte Modelle / Empfehlungen für unsere Unternehmensgröße?

Guß, JD
Bitte warten ..
Mitglied: aqui
11.02.2015, aktualisiert um 10:55 Uhr
Die Frage, und das weisst du sicher selber wenn du mal nachdenkst, kann man nicht sinnvoll und zielführend beantworten wenn mein dein Budget nicht kennt !!
Grundsätzlich muss man dazu wissen ob dir dann Premium Hersteller alao Cisco, Extreme, Juniper, Brocade usw. mit Service wichtig sind oder du lieber auf die Billiganbieter schielst.
Kompromiss sind auch sog. Billigschienen der Premium Hersteller wie z.B. Cisco SG300 oder SG500 bei geringerem Budget.
Final also immer die Frage wie wichtig und zuverlässig dir deine Netzwerk Infrastruktur ist, denn das sollte bestimmen welche HW du einsetzt ?!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Tools
Zwischenspeicher TS RDP-Verbindung (3)

Frage von Yannosch zum Thema Windows Tools ...

Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (7)

Frage von M.Marz zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
gelöst Router Switch zwei APs Verbindung klappt nicht (16)

Frage von c3t1n57 zum Thema LAN, WAN, Wireless ...

Windows 10
gelöst VPN Verbindung Probleme (6)

Frage von Yeter2 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...