onedread 10 Geschrieben 24. September 2007 Melden Teilen Geschrieben 24. September 2007 Hi Ich will bei uns der Firma ein Gäste VLan einrichten. Aus diesem VLan sollen die Gäste nur ins Internet kommen und gegebenfalls ihre mails abrufen dürfen doch kein Zugriff auf unsere Ressourcen im LAN. Ist hierfür dieses PrivateVLan Feature geeignet? Bzw. hat jemand eine verständliche Erklärung für PrivateVlans? Ich würd es mir so vorstellen ich mach einfach ein normal VLAN das in irgendeinem IP Bereich liegt dann setz ich als Default Router unsere Juniper SSg520 Firewall dort leg ich auch das Interface an das in diesem VLAN liegt und sag ihm dann auf der SSG was wer wohin darf. Hilft mir da dieses PrivateVLan Feature irgendwie weiter? Thx 4 help onedread Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 24. September 2007 Melden Teilen Geschrieben 24. September 2007 Prinzipiell reicht es ein normales VLAN anzulegen und auf der Firewall routen zu lassen. Also so wie du es beschrieben hast. Mit PrivateVLAN hast du noch zusätzlich den Vorteil, dass die Gäste nicht aufeinander zugriff haben. PrivateVLAN Ports sind untereinander schon auf Layer2 separiert und können nur auf festgelegten Ports (z.B. Richtung Firewall) raus. D.h. Gast1 kann Gast2 nicht mal pingen aber ins Internet kommen sie doch beide. Also die Antwort auf deine Frage: Nein, du brauchst es nicht aber es wäre ein Mehrwert ;) Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 24. September 2007 Autor Melden Teilen Geschrieben 24. September 2007 He Danke 1. mal. Naja diese Funktion wär ja ganz OK das sich die Gäste untereinander nicht sehen. Weiters zu der Konfig muss man da die bestehende VLAN Konfig angreifen. Weil unsere Portconfig sieht so aus switchport mode access switchport voice vlan 2 spanning-tree portfast das wärs im groben was muss mann dann noch beim PrivateVLan konfigurieren? thx onedread Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 24. September 2007 Melden Teilen Geschrieben 24. September 2007 Ihr scheint nur mit dem Native VLAN zu arbeiten, hmm? Sofern der Switch neben Gästen auch Mitarbeiter versorgt brauchst du ohnehin noch ein zweites VLAN. Wie man die PrivateVLANs konfiguriert findest du auf der Cisco Homepage super dokumentiert z.B. hier für einen C3750er Catalyst 3750 Switch Software Configuration Guide, 12.2(35)SE - Configuring Private VLANs [Cisco Catalyst 3750 Series Switches] - Cisco Systems Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 25. September 2007 Autor Melden Teilen Geschrieben 25. September 2007 he ja wir haben 4 Vlans im LAN, 1 PC, 2 Telefone, 3 Mobphone, 4 WLAN Notebooks. und jetzt 5 für das Gäste VLan. Hab das jetzt so gelöst. Router 2600er spielt DHCP Server, 192.168.10.x /24. GW ist die SSG520 wo dann auch das VLAN5 nur mehr auf das Outside Interface HTTP, HTTPS, und DNS machen darf. auf die anderen VLANS gibt es keine Zugriff. Frage: Ich hab derweilen noch das ich von unserem Vlan1 aufs VLAN5 zugreifen darf ist das auch ein Problem? Angenommen es hängt sich ein Notebook ins GästeVLAN und dort ist ein Trojaner/Virus drauf der sich automatisch verbreitet kann dann dieser Virus vom VLAN5 ins VLAN1 ohne das ich mich nun vom VLAN1 auf diesen Client connecte? thx 4 help onedread Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 25. September 2007 Melden Teilen Geschrieben 25. September 2007 Wenn du Verbindungen zwischen Guest- und normalen VLANs zulässt, dann kannst du dir das Guest-VLAN gleich sparen und den Gästen anbieten sich ins normale LAN zu hängen, das kommt so ziemlich aufs selbe raus :suspect: Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 25. September 2007 Autor Melden Teilen Geschrieben 25. September 2007 he naja die gäste können ja nicht auf unser lan zugreifen. nur wir können auf das gäste vlan zugreifen.????? Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 25. September 2007 Melden Teilen Geschrieben 25. September 2007 he naja die gäste können ja nicht auf unser lan zugreifen. nur wir können auf das gäste vlan zugreifen.????? Da sehe ich nich viel Sinn darin. Ihr könnt theoretisch auf das GuestVLAN zugreifen aber da diese nicht "antworten" können, kann man auch nicht besonders viel sinnvolles mit dieser Art von Verbindung anfangen. Ich würde dir empfehlen eine klare Trennung zu machen, dann weißt du was du hast! Zitieren Link zu diesem Kommentar
frzso 10 Geschrieben 25. September 2007 Melden Teilen Geschrieben 25. September 2007 warum sollte das nicht funktionieren, mit ip inspect kann ich sehrwohl zugriffe nur von meinem "internen" lan auf den gäste-vlan zulassen, ohne verbindungsaufbauten aus dem gäste-vlan zuzulassen... Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 25. September 2007 Melden Teilen Geschrieben 25. September 2007 Hmm, hab wohl die Frage falsch verstanden... ja, natürlich kann man auf der Firewall eine kontrollierte Verbindung zwischen den beiden LANs one-way zulassen. Ich hatte immer noch das Topic "PrivateVLAN" im Kopf... sorry :rolleyes: Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 25. September 2007 Autor Melden Teilen Geschrieben 25. September 2007 HI Ja Anfangs wollt ichs ja auch mit den PrivateVlan machen aber dann hab ichs mir doch anders überlegt, weil weniger aufwand zum konfigurieren war. und es läuft so recht gut. thx onedread Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.