Jump to content

PrivateVLAN


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi

 

Ich will bei uns der Firma ein Gäste VLan einrichten.

 

Aus diesem VLan sollen die Gäste nur ins Internet kommen und gegebenfalls ihre mails abrufen dürfen doch kein Zugriff auf unsere Ressourcen im LAN.

 

Ist hierfür dieses PrivateVLan Feature geeignet?

 

Bzw. hat jemand eine verständliche Erklärung für PrivateVlans?

 

Ich würd es mir so vorstellen ich mach einfach ein normal VLAN das in irgendeinem IP Bereich liegt dann setz ich als Default Router unsere Juniper SSg520 Firewall dort leg ich auch das Interface an das in diesem VLAN liegt und sag ihm dann auf der SSG was wer wohin darf.

 

Hilft mir da dieses PrivateVLan Feature irgendwie weiter?

 

Thx 4 help

 

onedread

Link zu diesem Kommentar

Prinzipiell reicht es ein normales VLAN anzulegen und auf der Firewall routen zu lassen. Also so wie du es beschrieben hast.

 

Mit PrivateVLAN hast du noch zusätzlich den Vorteil, dass die Gäste nicht aufeinander zugriff haben. PrivateVLAN Ports sind untereinander schon auf Layer2 separiert und können nur auf festgelegten Ports (z.B. Richtung Firewall) raus.

D.h. Gast1 kann Gast2 nicht mal pingen aber ins Internet kommen sie doch beide.

 

 

Also die Antwort auf deine Frage:

Nein, du brauchst es nicht aber es wäre ein Mehrwert ;)

Link zu diesem Kommentar

He

 

Danke 1. mal.

 

Naja diese Funktion wär ja ganz OK das sich die Gäste untereinander nicht sehen.

 

Weiters zu der Konfig muss man da die bestehende VLAN Konfig angreifen.

 

Weil unsere Portconfig sieht so aus

 

switchport mode access

switchport voice vlan 2

spanning-tree portfast

 

das wärs im groben was muss mann dann noch beim PrivateVLan konfigurieren?

 

thx

onedread

Link zu diesem Kommentar

Ihr scheint nur mit dem Native VLAN zu arbeiten, hmm?

Sofern der Switch neben Gästen auch Mitarbeiter versorgt brauchst du ohnehin noch ein zweites VLAN.

 

Wie man die PrivateVLANs konfiguriert findest du auf der Cisco Homepage super dokumentiert z.B. hier für einen C3750er Catalyst 3750 Switch Software Configuration Guide, 12.2(35)SE - Configuring Private VLANs  [Cisco Catalyst 3750 Series Switches] - Cisco Systems

Link zu diesem Kommentar

he

 

ja wir haben 4 Vlans im LAN, 1 PC, 2 Telefone, 3 Mobphone, 4 WLAN Notebooks. und jetzt 5 für das Gäste VLan.

 

Hab das jetzt so gelöst.

 

Router 2600er spielt DHCP Server, 192.168.10.x /24. GW ist die SSG520 wo dann auch das VLAN5 nur mehr auf das Outside Interface HTTP, HTTPS, und DNS machen darf. auf die anderen VLANS gibt es keine Zugriff.

 

Frage: Ich hab derweilen noch das ich von unserem Vlan1 aufs VLAN5 zugreifen darf ist das auch ein Problem? Angenommen es hängt sich ein Notebook ins GästeVLAN und dort ist ein Trojaner/Virus drauf der sich automatisch verbreitet kann dann dieser Virus vom VLAN5 ins VLAN1 ohne das ich mich nun vom VLAN1 auf diesen Client connecte?

 

thx 4 help

 

onedread

Link zu diesem Kommentar
he naja die gäste können ja nicht auf unser lan zugreifen. nur wir können auf das gäste vlan zugreifen.?????

 

Da sehe ich nich viel Sinn darin. Ihr könnt theoretisch auf das GuestVLAN zugreifen aber da diese nicht "antworten" können, kann man auch nicht besonders viel sinnvolles mit dieser Art von Verbindung anfangen.

Ich würde dir empfehlen eine klare Trennung zu machen, dann weißt du was du hast!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...