Jump to content

VLANs an Sophos über mehrer Standorte hinweg


Recommended Posts

Hallo zusammen,

 

ich stehe aktuell vor einer Herausforderung, die ich mir mithilfe von Infomaterial, Foren, Blogs, etc. nicht beantworten kann. Vielleicht habe ich auch ein Brett vor dem Kopf. :-)

 

Wir möchten gerne unser Netz neu strukturieren (kleinteiligere Segmentierung, etc.). Jeder Standort bekommt mehrere Subnetze.

Bedeutet also:

Standort 1: 10.1.0.0/24

Standort 1 Subnetz 1: 10.1.1.0/24

Standort 1 Subnetz 2: 10.1.2.0/24

etc.

 

Standort 2: 10.2.0.0/24

Standort 2 Subnetz 1: 10.2.1.0/24

Standort 2 Subnetz 2: 10.2.2.0/24

etc.

 

Für die VLANs würden wir dann gerne das dritte Oktett multipliziert mit 10 (also 10.2.1.0 wird VLAN10, 10.2.2.0 wird VLAN20)

 

Wir nutzen sehr viele RED-Devices von Sophos an Außenstellen. Die 50er RED Devices unterstützen VLANs. Nun stellt sich mir die Frage, ob es ein Problem ist, dass wir an allen Standorten die selben VLAN-IDs verwenden?

Ist das technisch überhaupt sinnvoll? Oder wäre es sinniger in jedem Subnetz auch eine eindeutige VLAN-ID zu verwenden? 

 

Viele Grüße!

Link to post

Hallo Nils,

 

genau, die Firewalls übernehmen das interne Routing.

 

Ziel des Ganzen ist es, dass wir an unseren Standorten das Netzwerk segmentieren können. An kleineren Standorten haben wir "nur" RED-Devices stehen. Also keine aktive Firewall / Router.

Dadurch gibt es zum Beispiel Probleme, wenn wir am Remotestandort einen Server stehen haben. Der Server befindet sich zukünftig in einem anderen Subnetz als die Clients, genauso wie dann natürlich auch IoT-Geräte, IT-Management-Schnittstellen, Alarmserver usw. All diese Geräte wollen wir in einzelnen Subnetzen zusammenfassen. Diese werden am Remotestandort dann natürlich nicht nur durch das Subnetz, sondern auch mittels VLANs voneinander getrennt.

 

Durch die Problematik, dass wir an den Remotestandorten keine Firewall stehen haben, sondern nur die RED-Devices, wollen wir das Firewall- und Routingmanagement an der in der Zentrale stehenden UTM verwalten.

Durch die vielen Standorte gibt es aber jedoch mehrere IT-Management-Subnetze, IoT-Subnetze, usw. 

 

Meine Frage ist nun: Wie gehe ich nun mit den VLAN-IDs um? Muss ich für jedes IoT-Subnetz je Standort eine eigene VLAN-ID vergeben, wenn ich die durch das RED-Device tunnel, oder kann ich für das IoT-Subnetz generell immer dieselbe VLAN-ID an jedem Standort verwenden?

 

Wenn wir an jedem Standort für jedes Subnetz eine eigenständige VLAN-ID vergeben, wären wir bei 50 Standorten á 4-11 Subnetzen im Schnitt bei ca. 350 VLAN-IDs. Das ist natürlich ein entschiedenes Designkriterium.

 

Diese Frage bereitet mir gerade einen Knoten im Hirn.

Edited by ChrisRa
Link to post

Nein, die RED-Devices können nicht routen.

Der Durchsatz reicht, es sind wirklich kleine Standorte. 

Die RED50 haben einen Durchsatz von 850 MBit/s.

 

Am sinnvollsten wäre natürlich eine eigene Firewall je Standort. Aber da kommen wir an die Grenzen des machbaren und administrierbaren.

Link to post

Okay, Server waren vielleicht ein denkbar schlechtes Beispiel. An den kleineren Standorten stehen keine Server.

Nehmen wir z.B. die Managementschnittstelle von einem Accesspoint, die sich in einem anderen Subnetz als die Clients Vorort befindet. Diese möchte ich aus der Zentrale erreichen können. Das Routing übernimmt nach meinem Verständnis dann die lokale UTM. Warum sonst sollte man VLANs auf dem RED einrichten können. 

 

Ich glaube die Frage ist ziemlich RED-spezifisch. Bei je einer Firewall pro Standort wäre das klar... Dann könnte ich in jedem Standort die gleiche VLAN-ID verwenden.

Edited by ChrisRa
Link to post

Mal anderst gedacht, ist das VLAN nur die logische Trennung der Netze vor Ort, anstatt eigene Switche verwenden zu müssen. Da die Netze durch Routing erreicht werden, wird es der RED egal sein. Kann es ihr auch, denn sie Routet und Tagged nur. Ähnlich wie du das VLAN in die Netze einbaust, habe ich das auch schon gemacht. Klingt sinnig und ist bei großen oder vielen kleinen Strukturen eine bessere Merkbarkeit.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...