VLANs am Router oder Switch?

[lefg 276]

Ich entschuldige mich für den Satz 1 in #14, ich habe manchmal leichte Probleme mit dem Verwenden des Begriffes offiziell; für mich sind Firmen sind keine Ämter, haben keine amtliche Aufgabe, sie können nichts amtliches herausgeben. Manchmal bin ich etwas pissig. :)

 

Es ist also keine physikalische Trennung möglich, deshalb kommt wohl nur eine logische Trennung inn Frage, die Anwendung von VLAN. Ein Szenario habe ich ja schon beschrieben. Also nochmals die Frage, was ist das Kernproblem für dich?

bearbeitet 29. Mai 2014 von lefg

[kosta88 2]

Okay :)

 

Kernproblem ist, wie ich bereits beschrieben habe, auch bei VLANs, wie kann ich verlässlich trennen?

D.h. wenn ich zB. zwei Subnets habe, einen 11 und einen 12, und genauso eingerichtete Rechner, was kann einen Nutzer in Subnet 11 anhalten sich in das Subnet 12 manuell zu verbinden und dann von dort Zugriffe auf verschiedene Geräte bekommen? Auch wenn die Geräte mit Passwort und ohne bekannten Zugriff sind.

 

Ich habe bereits vorher beschrieben dass ich beim LANCOM VLAN Tag für ein IP Netzwerk zuordnen kann. Schön und gut, aber würde gerne wissen ob das korrekt ist, und ob es andere Wege gibt?

Entweder verstehe ich deine Antworten nicht, oder wir reden aufeinander vorbei.

 

Ich muss vollkommen verbieten den Benutzer in Netz11 die Möglichkeit zu haben auf irgendeine Weise ins Netz 12 überhaupt zu kommen! Macht Sinn?

[lefg 276]

Nun schreibst Du von Subnets, was verstehtst Du unter einem Subnet?

 

Ich sehe Subnet und VLAN als ganz verschiedene Baustellen an. VLAN existieren auf Layer 2, Subnets existieren auf Layer 3. Layer 2 ist Ethernet, Layer 3 ist Netzwerkprotokoll. In diesem Fall ist das Netzwerkprotkoll TCP/IP. Subnets definiere ich durch Adressbereich und Subnetmask. Getrennte physikalische Netzwerke(Layer 2), deren Hosts verschiedne Adressbereiche besitzen, können mittels Routing(Layer 3) verbunden werden, ein klassische Fall ist die Verbindung von Internet und LAN einer Firma. Es etwas aussergewöhnlicher Fall wäre, ein physikalische Netzwerk(Layer 2), darin Hosts miit verschiedenen Adressbereichen, ein Routing dazwischen.

 

Es gibt es Switches, die erlauben VLAN(Layer 2) und Routing(Layer 3). Die erlauben auch Filtern, die haben Access Control Lists. Ich denke mal, der Umgang insgesamt damit ist nicht einfach.

 

Das Beherrschen der Grundlagen, Ethernet und TCP/IP, das wirkliche Kennen des Schichtenmodells, das ist Voraussetzung. Falls man das hat, dann sieht man es auch eher, wie es geschehen kann. Ich kann mich aber an Schulungen erinnern, da hatten die Leute das Schichtenmodell durchgekaut. Und ann kam die Anwendung, und viele sahen es nicht, sie hatten es nicht verinnerlicht, nicht wirklich kapiert, ging mir auch so, war wie der Ochs vorm Berg.

 

Und man muss die Möglichkeiten der Geräte kennen. Für manche Sachen braucht man eine Schulung oder Anleitung von einem Spezialisten.

 

Falls man Geräte zum Üben hat oder Simulationen, die nötige Zeit, das wäre schon hilfreich. Man kann wohl kaum an einem Produktivnetz trainieren.

bearbeitet 29. Mai 2014 von lefg

[kosta88 2]

Subnets sind definiert durch Adressbereich und Subnetmask, korrekt. Das verstehe ich auch darunter.

 

Und hier bestätigt sich mein "Problem", habe gerade in einer Testumgebung getestet:

Rechner1, IP: 192.168.12.101

Rechner2, IP: 192.168.13.101

 

Im Firewall mache ich zwei Rules, eins erlaubt kein Zugriff von dem 192.168.13.101 auf das 192.168.12.101 und das zweite Rule dass Zugriff aus 192.168.14.101 auf 192.168.12.101 schon erlaubt.

Die Aufgabe lautet: kein Ping, Zugriff oder Sichtbarkeit des Rechner1 vom Rechner2.

So angenommen man hat einen "probelustigen" User an dem Rechner2 sitzen, sollte er ins Subnet 14 wechseln, was tadellos klappt bei der manuellen Vergabe, kann man den Rechner1 klarerweise anpingen.

 

Und das ganze oben hat nichts mit dem L2 zu tun. Oder mindestens so verstehe ich es.

So, was macht man dagegen? Siehe Vorschlag oben bzgl. VLAN... oder gibt es Alternativen?

 

Bzgl. OSI, ja, wie gesagt schon zu oft, ich lerne es. Theoretisch weiß ich ja schon, aber die Praxis und das OSI mit der Praxis zu binden ist was ganz anderes.

 

Mein Glück ist, dass unsere Server-Umgebung nicht wirklich die Produktivumgebung ist, und ich kann mich ziemlich austoben was Tests und probieren angeht. Aber ich soll auch etwas daraus machen. Wir arbeiten in einem ganz anderen System, die Serverumgebung wird derzeit sehr selten genutzt und der Router macht orinigell nur DHCP.

bearbeitet 29. Mai 2014 von kosta88

[lefg 276]

Was ist die Firewall, Ist das ein Router mit einer Firewall? Falls ja, dann möchte ich  erstmal vom Router sprechen, die primäre Funktion ist Routing. Ein Router verbindet zwei Netze auf Layer 3. Darauf kann auch eine Firewall arbeiten und auch Network Adress Translation, die klassische Anwendung fürs Routing mit dem  Internet, nicht zwischen LAN.

 

Eine Firewall -eine Brandmauer- zwischen zwei Häusern soll eine fürs Feuer undurchdringliche Barriere sein, zwischen den beiden Altstadthäuseren Koberg 2 und Koberg 3 gibt es kein Loch in den Mauern. Nun, zwischen anderen Häusern wurden die Mauern durchbrochen, einzelne Durchgänge geschaffen. In einer Firewall werden Ports geöffnet für verschiedenen Zwecke oder sind eben geschlossen. Falls also kein Ping durch die Firewall soll, dann der Port für Ping geschlossen.

 

Die Sichtbarkeit der Rechner in der Netzwerkumgebung geschieht mittels des Browserdienstes und dessen Liste(n).

 

Wie sollte ein User an Rechner 2 ins Subnet 14 wechseln (können)? Ich denke mal es ist eine falsche Vorstellung, der Rechner und User verbleiben dort wo "hingestellt", sie können durchs Routing Zugriff auf Ressourcen eines anderen Subnets haben.

 

Falls nun in den Durchgängen in den Brandmauern Türen sind, die nur Personen mit Berechtigung passieren können, dann entspricht das wohl den Regeln auf der Firewall, ich denke mal Access Contol List ist auch ein Begriff dafür.

bearbeitet 30. Mai 2014 von lefg

[zahni 521]

Kernproblem ist, wie ich bereits beschrieben habe, auch bei VLANs, wie kann ich verlässlich trennen?

D.h. wenn ich zB. zwei Subnets habe, einen 11 und einen 12, und genauso eingerichtete Rechner, was kann einen Nutzer in Subnet 11 anhalten sich in das Subnet 12 manuell zu verbinden und dann von dort Zugriffe auf verschiedene Geräte bekommen? Auch wenn die Geräte mit Passwort und ohne bekannten Zugriff sind.

 

Was VLAN-Tagging ist, kannst Du bei Wikipedia nachlesen. Man kann Port-Based oder nach IEEE 802.1Q taggen.

Im ersteren Fall steht der Switch in einem abgeschlossenen Bereich, den der User nicht erreichen kann. Üblicherweise liegt in einem Raum dann auch nur ein VLAN an, so dass der User auch kein Kabel umstecken kann.

Zusätzlich kann man noch einen Port-Based MAC Filter einrichten.

 

Im 2. Fall hat der User keine lokalen Admin-Rechte und kann damit die VLAN-ID nicht verstellen.

 

Und wenn Du es weiter treiben willst: Man kann auch eine Port-Security mittels eines Radius-Servers  implementierten.

[kosta88 2]

lefg,

Ich weiss was die Firewall und der Router machen. Ja, sind beide in einem Gerät. LANCOM 1751.

 

Wie sollte ein User im Rechner das umstellen können? Einfach via Systemsteuerung. Natürlich kann ich das sperren, aber das will ich nicht machen, ist nicht der Punkt der Diskussion. Ich habe es gestern getestet, der Wechsel ins Subnet 14 hat das pingen erlaubt, weil im FW so eingestellt. Ich will dass es letztendlich so ist, dass wenn man was ändert, man kein Netzwerk Zugriff mehr bekommt.

 

Also jetzt: ich will den einzelnen Rechnern verbieten, und zwar aus dem Netzwerk heraus, das Zugriff ins Netzwerk aus einem anderen Subnet zu haben. Wenn ich definiere dass diese 10 Rechner im Subnet 11 sind, ich will dass wenn die nicht auf Subnet 11 eingestellt sind, absolut keine Verbindung bekommen.

Klingt besser?

 

zahni,

Danke, habe ich gestern schon einigermassen mich eingelesen. Ist kein kleines Thema. Switch ist eh abgeschlossen.

Port-Based MACs sind zu mühsem um ehrlich zu sein :)

 

Ich werde noch über VLANs lesen bevor ich da weiter schreibe.

[DocData 85]

Wenn deine Rechner alle in einer Broadcastdomain stehen und nur in unterschiedlichen /24 Subnetzen stehen, dann wirst du keine saubere Trennung hinbekommen.

 

Ich will es mal so formulieren: Du hast keine zwei Subnetze, keine zwei VLANs, du hast zwei Sicherheitszonen. Jede Sicherheitszone ist ein eigenes VLAN und nutzt dort ein eigenes IP Subnetz. Um die sauber zu trennen gibt es nur zwei Möglichkeiten:

 

- Du nutzt die Netzwerkkomponenten gemeinsam, richtest für jede Sicherheitszone ein eigenes VLAN ein und erlaubst zwischen diesen Sicherheitszonen kein Routing. Entweder, weil du einfach kein Routing nutzt, oder weil du es explizit über Regeln steuerst.

- Du nutzt für jede Sicherheitszone dedizierte Hardware und hast damit eine physikalische Trennung. Um eine zufällige Verbindung der Sicherheitszonen zu verhindern, nutzt du, trotz getrenner physikalischer Komponenten, in jeder Sicherheitszone ein eigenes VLAN und ein eigenes IP Subnetz.

 

Soll die Kommunikation für einzelne Geräte erlaubt werden, dann kannst du das in der ersten Variante über explizites Routing und/ oder Regel ermöglichen. In Variante 2 hilft dir eine Firewall, die jeweils ein Interface in jeder Sicherheitszone hat.

 

Wie auch immer: Du hast ein gewaltiges Grundlagenproblem. Ich möchte dir daher dringend empfehlen erst einmal die notwendigen Grundlagen aufzuarbeiten, bevor du deine Anforderungen weiter formulierst.

[lefg 276]

Kosta, wenn Du das weisst, dann ist ja alles gut. :)

 

Ich habe den Eindruck, Du verweigesrst dich dem Folgen meiner Gedankengänge und Erläuterungen, Du bist auf etwas anderes fixiert. Dein Problem in der Firma ist für mich nicht das Thema hier, das wurde bereits in einem anderen Thread behandelt.

 

Ich fragte dich mehrmals nach dem Kernproblem, deiner Antwort meine ich entnehmen zu können, Du hast es nicht erkannt. Ich meine, Kernproblem ist ein Mangel an Kenntnis, möglicherweise Konzeption, wohl auch Fixierung. Das verhindertb einen klaren Blick, führt zu Sprüngen, zu falschen Gedankengängen.

 

Ich behaupte mal: Rechnern etwas zu verbieten, dafür ist Networking die falsche Baustelle. Und um Netwörking geht es bei LAN, VLAN und Routing, die beiden letzten Begriffe stehen in der Überschrift des Threads. Rechnern oder Usern etwas zu verbieten, das ist Security, das ist eine andere Baustelle als LAN, VLAN und Routing.

[kosta88 2]

lefg,

Mangel an Kenntnis? Na klar, deswegen bin ich (auch) da. Ich lese sehr viel und schlage sehr viel nach. Ist doch der einzige Weg.

Konzeption? Unter anderem auch, damit kämpfe ich auch.

Fixiert auf etwas? Ziemlich sicher, aber wie sonst.

 

Okay, du meinst, ich soll sicherstellen, dass der Benutzer am Rechner kein Zugriff auf die Netzwerkeinstellungen hat?

 

DocData,

Danke. Jetzt hab ich die Antwort. Also ich muss zwingend VLANs auf Subnetzen konfigurieren. Habe mir eh gedacht.

 

 

Wie auch immer: Du hast ein gewaltiges Grundlagenproblem. Ich möchte dir daher dringend empfehlen erst einmal die notwendigen Grundlagen aufzuarbeiten, bevor du deine Anforderungen weiter formulierst.

 

 

Leicht für dich das zu sagen, ich werde in der Arbeit gepresst schnell zu machen, aber schnell lernen geht schon mal gar nicht. Schau, ich bin unter Druck, mache das Beste heraus, lese jeden Tag früh und abends über Netzwerke (im Zug, am iPad, ein Server 2012 Buch habe mir gekauft), Tagsüber lerne ich unsere riesige Softwareplatform, und versuche das alles zu verbinden. Komm mir bitte nicht mit so einem Satz wieder. Danke.

bearbeitet 30. Mai 2014 von kosta88

[lefg 276]

Okay, du meinst, ich soll sicherstellen, dass der Benutzer am Rechner kein Zugriff auf die Netzwerkeinstellungen hat?

 

Nun, ich glaube, jetzr begreife ich wohl, was Du gemeint, in ein anderes Netzwerk wechseln, nämlich durch das Ändern der IP-Adresse am Rechner durch den Benutzers?

 

Nun, es ist in Unternehmen und auch Schulen weitgehend üblich, ein Benutzer ist kein Administrator des Rechners, kann also die Netzwerkeinstellungen, die TCP/IP-Konfiguration nicht ändern.

 

Ich bedaure deine Überforderung durch mehrere Aufgaben, die so wohl nicht auszufüllen sind. Was hat Priorität, was muss gemacht werden, was ist abwählbar, verschibbar?

bearbeitet 30. Mai 2014 von lefg

[zahni 521]

Keine Adminrechte hatte ich aber  auch schon geschrieben (ich glaube  in dem andere Thread).

[DocData 85]

Leicht für dich das zu sagen, ich werde in der Arbeit gepresst schnell zu machen, aber schnell lernen geht schon mal gar nicht. Schau, ich bin unter Druck, mache das Beste heraus, lese jeden Tag früh und abends über Netzwerke (im Zug, am iPad, ein Server 2012 Buch habe mir gekauft), Tagsüber lerne ich unsere riesige Softwareplatform, und versuche das alles zu verbinden. Komm mir bitte nicht mit so einem Satz wieder. Danke.

 

Wenn Du es eilig hast, gehe langsam.

 

Für deine Überforderung kann ich nichts und eine Aussage wie meine musst du einfach abkönnen. Du scheinst bei solchen Sachen sehr schnell dünnhäutig zu werden. Das spricht auch wieder für eine Überforderung. Im Prinzip kann es mir egal sein, aber es ist niemandem damit geholfen, wenn du dein Problem nicht mal detailliert und für alle verständlich niederschreiben kannst. An dieser Stelle sei noch mal der bereits gefallene Hinweis zu erwähnen, dass du die Grundlagen verstehen musst. Viel Stoff schnell lernen bringt dich nicht weiter. Nur wenn du etwas tatsächlich verstanden hast, dann behälst du es auch im Kopf.

[lefg 276]

@DocData,

 

das Problem wurde in einem anderen Thread diskutiert, dort sind auch Zeichnungen vorhanden.

bearbeitet 30. Mai 2014 von lefg