Poison Nuke 10 Geschrieben 23. März 2010 Autor Melden Teilen Geschrieben 23. März 2010 also wenn ich die Cisco Seite zum Thema anschaue ist das was ich implementiert habe genau das was sich Cisco auch dabei gedacht hat, die abkapselung der einzelnen Rechner in einem VLAN und das auftrennen einer Broadcastdomain in ein non-broadcast Multiaccess segment. Sprich jeder REchner für sich, damit die Kommunikation zwischen allen Rechnern kontrolliert werden kann. So steht es auf der Cisco Seite. Zudem es mir von einigen CC.. in einem Cisco-Forum explizit so empfohlen wurde für mein Vorhaben. ich wüsste daher nicht wo ich hier etwas mache was nicht irgendwo so vorgesehen ist. PS: Hetzner z.B. verwendet def. private VLANs und zwar genau in der Form wie ich sie auch implementiere. Das sieht man wenn man einen Server bei denen hat und mal in die Konfig schaut. Nur dass die kein Windows anbieten. Ist also nicht so das ich mir das ganze hier aus den Haaren herbeiziehe. Im Gegenteil. PVLAN ist das einzige (!) um überhaupt ein großes Netzwerk abzusichern und genau das mache ich genau so wie es vorgesehen ist. es gibt nebenbei gemerkt definitiv KEINEN anderen Weg soetwas zu implementieren also muss ich wohl oder übel das ganze machen und ich mache es so wie es die Hersteller anbieten. ACLs können das was gewollt ist nichtmal im Ansatz, das hab ich schon von A bis Z durchgekaut. Ergo es ist seitens von Cisco zumindest supportet (auch wenn auf Netzwerkseite ja alles funzt). Ob Microsoft da mitspielt gute Frage. Ob die den Sinn und die Vorteile von PVLANs überhaupt schon kennen ist auch eine gute Frage, vllt würden sie es dann ja sogar darauf hin optimieren, wenn es mehr und mehr eingesetzt wird und mehr und mehr Netzwerkdesigner die Vorteile erkennen. Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 23. März 2010 Melden Teilen Geschrieben 23. März 2010 und aus meiner Sichtweise, so wie sich das Problem verhält, sieht es so aus als wenn da im Netzwerkstack irgendwo ein Bug ist oder so, der halt unter normalen Bedingungen nur nie auffällt. Und für einen Bugreport Geld zahlen... nur so wie ihr es schreibt könnte es wohl einfach sein das Microsoft sagt, privateVLANs werden nicht unterstützt, sackt die 300€ ein und ich steh trotzdem mit dem Problem da oder? Tja, echt ****e Sache das..... Aber siehs mal positiv. Wenn du den "bug" nicht meldest kannst du dich den Rest deines Lebens daran hochziehen einen "bug" im Netzwerkstack (Junge, Junge, so genau hab ich mir den Stack nie angesehen das mir darin ein Bug aufgefallen wäre) gefunden zu haben den Microsoft übersehen hat. Wenn du den "bug" meldest könnte es rauskommen dass es gar keiner ist und dein Ruhm ist dann dahin und Geld kostet es auch noch... Ich würde mir es gut überlegen ob es mir das wert ist... Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 23. März 2010 Melden Teilen Geschrieben 23. März 2010 Hallo, das mag ja alles sein. Aber für HP-UX machen wir spezielle Netzwerkconfigs, andere wie für VMware und nochmal andere für die Windowsbüchsen. Was geht denn mit einem Grundstock an PVLANs und zusätzlichen VLAN ACLs nicht? ( eventl. Lnk auf das andere Forum) Dein Problem ist einfach, seitens IP sind keine VLAns und schon gar keine PVLAns vorgesehen und MS behauptet ja nur, IP zu unterstützen. NIcht mehr, aber auch ncith weniger. mfg Link zu diesem Kommentar
Poison Nuke 10 Geschrieben 23. März 2010 Autor Melden Teilen Geschrieben 23. März 2010 Ziel soll einfach ein: -schöne ClassC VLANs -jeder Rechner in dem VLAN darf unter keinen Umständen irgendein Paket zu sehen bekommen das nicht direkt an ihn adressiert ist und kein ARP Broadcast vom Router ist. -ergo damit dürfen die DHCP Broadcasts ausschließlich nur am Router ankommen - die Rechner dürfen ausschließlich nur genehmigte MAC Adressen und genehmigte IP Adressen verwenden - MAC Spoofing usw sollen damit auch unterdrückt werden - keine VLAN internen DDoS Attacken... dazu muss zwangsweise der Traffic über den Router, welcher über bestimmte Filter diese Attacken erkennt und blockt, das geht auf Switchebene nicht. allein für den letzten Punkt ist PVLAN unumgänglich aber auch die ersten Punkte sind mit ACLs nicht realisierbar, das hab ich wochenlang im Lab ausprobiert, es hatte nie zufriedenstellend funktioniert, es kamen immer irgendwie irgendwo Pakete durch die man eigentlich nicht wollte aber man konnte die ACLs nicht umformulieren. Und das Konzept der pVLANs ist genau die Lösung für alles, fast alles von dem o.g., die ACLs sind so oder so noch lang genug, es werden ja auch noch Ports gefiltert usw, und ich kann es mit der Länge der ACLs nicht übertreiben. bzw sollte man nicht. Ich beschäftige mich jetzt über ein Jahr fast jeden Tag mit dem Netzwerk, die aktuelle Konfig ist schon das beste von dem was geht (für die die Cisco Switch nutzen, die Config für einen 24Port L2 Switch (der also Null L3 Funktionen ausführt bis auf ACLs) ist ca. 21-25kb groß und das ist nur text). Ich reize den Funktionsumfang so gesehen schon bis aufs letzte aus. PPS: es hat nicht zufällig einer hier ein Technet Abo und noch ein paar Anfragen ungenutzt? :D Link zu diesem Kommentar
Stephan Betken 43 Geschrieben 23. März 2010 Melden Teilen Geschrieben 23. März 2010 PPS: es hat nicht zufällig einer hier ein Technet Abo und noch ein paar Anfragen ungenutzt? :D Falls du niemanden findest: TechNet Blog Deutschland : 28% Rabatt auf TechNet Plus gilt noch bis 31. März 2010 Zwei Anfragen sind inklusive. Auf weitere gibt es 20% Rabatt auf den regulären Preis. Nicht mal selber ein Technet-Abo... :rolleyes: ;) :D Link zu diesem Kommentar
zahni 554 Geschrieben 23. März 2010 Melden Teilen Geschrieben 23. März 2010 Ich sehe nicht, was Deine Problemestellung mit dem OS zu tun hat. Die VLAN-Konfig ist nicht die Sache vom Windows. Dort kannst Du allerdings die eingebaute Firewall nach belieben konfigurieren. Brodcasts sind nunmal dazu da, dass die jeder hört. Was machst Du, wenn ein Kollege im selben Segment ;) über den Flur schreit ? Ok, ich stelle manchmal meine Firewall an ;) -Zahni Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 23. März 2010 Melden Teilen Geschrieben 23. März 2010 PPS: es hat nicht zufällig einer hier ein Technet Abo und noch ein paar Anfragen ungenutzt? :D Du nutzt das besten zur Verfügung stehende Equipment und beschäftigst dich seit über einem Jahr damit und bist nicht bereit 300€ in die Hand zu nehmen, damit das Problem endgültig geklärt wird? Ich mein es könnte sein, dass die dir einen Fehler nachweisen, oder eben einfach sagen es geht nicht. In beiden Fällen wäre nachgewiesen, dass du ein Jahr an etwas rumdoktorst, was eben ein Fehler ist, oder eben einfach in der Konstellation unmöglich. (dritte Möglichkeit: Es ist ein Bug und du hast ihn gefunden und eventuell wird er sogar gefixt ;)) Muß ich ja nicht verstehen. Bye Norbert Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 23. März 2010 Melden Teilen Geschrieben 23. März 2010 Muß ich ja nicht verstehen. Naja, basteln mit "echter" Tecnik macht schon Spaß ;) Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 23. März 2010 Melden Teilen Geschrieben 23. März 2010 Naja, basteln mit "echter" Tecnik macht schon Spaß ;) Ja aber irgendwann hört der Spaß ja auch mal auf. ;) Bye Norbert Link zu diesem Kommentar
blub 115 Geschrieben 23. März 2010 Melden Teilen Geschrieben 23. März 2010 Ja aber irgendwann hört der Spaß ja auch mal auf. ;) Das war der passende Abschluss dieser unsinnig gewordenen Diskussion! Link zu diesem Kommentar
Empfohlene Beiträge