rep 10 Geschrieben 12. November 2014 Melden Teilen Geschrieben 12. November 2014 Hallo, Ich habe bisher ein paar kleine VLANs für Testzwecke. Diese sind komplett getrennt. In der Regel wird hier auch kein Internet benötigt. Wenn doch wurde es dann teilweise aber über eine eigene Leitung bereitgestellt. Seit kurzem habe ich auch einen Router der in jedem VLAN mittels Tagged-VLAN ist und zulässt oder verbietet was gewünscht ist. Auch für WLAN oder ein Gastnetz für Internet ist vorhanden, was dann über den Router geht. Es wäre nun aber schön, wenn ich auch für unterschiedliche Gruppen von Rechnern einzelne VLANs machen könnte, die dann über den Procurve selbst geroutet werden. Ich möchte so also in erster Linie die Broadcast Domänen und das MAC-Spoofing verhindern. Damit aber nun die Wege zwischen den VLANs nicht zu langsam werden, geht dann ja alles über den Router mit jeweils 1GBit, soll das direkt auf den Switchen passieren. Daher die Routingengine des Switches. Ich habe auch schon gelesen, man kann das Routing im Switch einschalten. Da sind aber nicht wirklich viele Optionen. Daher vermute ich, es wird dann alles mit allem direkt verbunden. Es wäre mir aber lieber wenn ich sagen könnte welche VLANs miteinander verbunden werden. ein VLAN zu Testzwecken soll nach wie vor nicht direkt über den Switch ohne Firewall mit anderen Netzen verbunden werden. Geht das irgendwie? Haben die HP Procurve 2910al Viele Danke schon im Voraus. Gruß rep Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 12. November 2014 Melden Teilen Geschrieben 12. November 2014 Hi, das Routing aktivierst du mit ip routing (vorher conf t). Dann passiert erst mal nicht viel, da deine Clients als Default Gateway die Firewall haben und somit nicht in andere Vlans kommen. Das geht erst wenn das entsprechende Vlan eine ip bekommt ( ip addr 1.2.3.4/24 z.b.) und diese IP den Clients als Default Gateway oder als route mitgegeben wird. Dadurch können die Clients in die anderen Vlans routen, wenn der andere Client/Server auch eine rückroute hat (wird gerne vergessen). Diese kann auch noch über die Firewall gehen! Wenn z.b. VLan 2 mit Vlan 3 kommunizieren soll, dann gibst du beiden Vlans eine IP und änderst das Default Gateway für die Clients. Sollen die Clients noch Internet über deine Firewall bekommen, benötigt der Switch eine default route (ip route 0.0.0.0 0.0.0.0 ip.der.firewall). Um das ganze einzuschränken/abzusichern solltest du mit ACLs auf dem Switch arbeiten. Hier eine Anleitung von HP: http://cdn.procurve.com/training/Manuals/2910-ASG-Feb09-9-ACLs.pdf ACLs immer vorsichtig testen und ggf. Zugriff per Konsolenport vorher testen/verfügbar haben, damit du dir nicht den SSH Weg zum Switch abschneidest! Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 14. November 2014 Autor Melden Teilen Geschrieben 14. November 2014 Danke schon mal für die Erklärung, das macht Sinn. Nur kurz zum Verständnis. Das bedeutet aber auch, wenn man mehrer Gruppen von VLANs miteinander Verbinden will. Also VLAN1+2 sowie VLAN3+4, die untereinander aber nichts teilen sollen, dann klappt das nicht. Oder nur mit "ausgefeilte" ACL Listen? ACLs muss ich mir noch erst ansehen... Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 14. November 2014 Melden Teilen Geschrieben 14. November 2014 Ja, wenn das über den Switch geroutet wird dann mit ACLs, ansonsten über die Firewall mit Regeln händeln. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.