Jump to content

WLAN / LAN mit VLAN


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo werte Forengemeinde, ich steht hier von einer grundsätzlichen Frage, wie ich ein Szenario wie folgt, am besten löse.

 

Firewall --> Sophos XG

LAN1 Verwaltung: 10.0.0.1/24

LAN2 Produktion: 10.10.0.1/24

 

Nun sollen mehrere WLANs erstellt werden und zwar.

 

WLAN Verwaltung
WLAN Produktion

WLAN Gast

 

Nun könnte ich das gesamte WLAN über DHCP über die Sophos einrichten und halt ein paar Firewallregeln mehr pflegen, oder über VLANs einrichten.

 

In der Produktion steht auch das Verwaltungs WLAN zur Verfügung und umgekehrt.

 

Nun, wenn ich alles über die Sophos regle, müsste ich ein paar Firewallregeln mehr bauen. Wenn ich es mit VLANs mache, müsste ich halt für die Produktion ein VLAN Tag z.B. 100 nehmen und dem AP und der Sophos am Port auch die 100 geben. DHCP könnte ich dann von der Sophos an den DC vom Produktionsnetz durchreichen und bekomme so eine IP aus dem Produktionsnetz ohne das ich eine zusätzliche FW Regel bräuchte um den Datenverkehr von WLAN nach LAN Produktion zu regeln, oder?

 

Was wäre sinniger oder gibts noch eine andere Idee?

 

Grüße Martin

Link zu diesem Kommentar

Tja,

diese Frage kannst wohl nur Du beantworten, da keiner von uns Eure Anforderungen kennt.

Das ist grundsätzlich immer eine Entscheidung zwischen 'Einfacher' und 'Sicherer'. Wenn Du das jeweilige WLAN direkt in das Netz schaltest ist es halt einfacher zu konfigurieren. Aber, wenn dann Jemand das WLAN hackt, hängt er dann auch komplett im jeweiligen Netz und alle alles Zugriffsmöglichkeiten. Wenn Du die WLAN über die FW in die jewiligen Netze hängst hast Du halt über die FW noch Möglichkeiten die Zugriffe auf bestimmte Ressourcen zu beschränken. Mehr Aufwand, aber eben auch mehr Sicherheit.

 

Gruß

Dirk

 

Link zu diesem Kommentar

ich würde auf alle Fälle das Gast Wifi komplett über die Sophos machen. Erstens brauchst Du Dich nicht um irgendwelche CALs kümmern (brauchst Du, wenn Gäste auf den Windows DHCP/WINS/DNS zugreifen)

2. Haben Gäste in den internen Netzen nix verloren

3. Produktionsnetz (LAN&Wifi) würde ich mir auch Gedanken machen, welche Clients auf Resourcen im Verwaltungsnetz zugreifen müssen (normalerweise keine) ... also über die Sophos regeln. Auch hier bist Du dann bzgl. CALs sauber

 

Hinweis: Jedes Gerät, welches irgendwelche Windows Serverdienste nutzt braucht eine CAL - es sei denn, es ist fest einem User zugeordnet und Du hast User CALs. Wenn Du Abteilungs MFPs z.B. im Einsatz hast, dann brauchst Du für solche Geräte eine Device CAL 

Link zu diesem Kommentar
4 minutes ago, Squire said:

Hinweis: Jedes Gerät, welches irgendwelche Windows Serverdienste nutzt braucht eine CAL - es sei denn, es ist fest einem User zugeordnet und Du hast User CALs. Wenn Du Abteilungs MFPs z.B. im Einsatz hast, dann brauchst Du für solche Geräte eine Device CAL 

So stimmt das nicht ganz.

Wenn jeder, der das Gerät nutzt eine User CAL zugewiesen hat, braucht es nicht extra einen Geräte CAL.

Link zu diesem Kommentar

Moin

 

Vll. sollte man sich das Zeug von HPE (Aruba) mal anschauen.

 

https://www.hpe.com/de/de/networking/access-points-controllers.html

 

Bei uns hatten auch die WLAN-Geräte der Verwaltung nichts mit DHCP von MS-Servern zu tun. Mit einemm Centre WLAN-Controller sind beliebige WLANS definierbar, auch auf welche AP diese wirken, und welche Benutzer/Gruppen Zugriff auf welches WLAN. Die Positionen der APs wurden vorher ausgeleuchtet. Ausgeführt wurde die Montage der der AP und Verlegung der Kabel von einer Fachfirma. Die hat auch das Konzept erarbeitet und vorgeschlagen. Das ist nun einige Jahre her, ich bin inzwischen in Rente und habe die Bezeichnungen der Geräte nicht mehr present.

 

Der Centre Controlle war auch ein Router und eine Bridge, erlaubte VLANs, soll der letzte seiner Art vom Lager gewesen, danach ein neuer Typ.

 

Nochmals, die AP waren Layer 2, wurden nicht konfiguriert, keine IP-Verwaltung drauf, kein DHCP und was sonst die APs fü SoHo und Home haben.

bearbeitet von lefg
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...