IngoR 0 Geschrieben 27. Januar 2015 Melden Teilen Geschrieben 27. Januar 2015 Hallo Forum, ich bin grade bei mir eine neue LAN Struktur zu überlegen. Hintergrund ist die Überlegung unser Netz, mit Hilfe von VLans, zu separieren. Aktuell haben wir schon 1 VLan für unsere IP Telefone und 1 VLan für unser Gast WLan. Alle anderen Geräte (PC, Server, Drucker, Produktionsmaschinen) hängen in einen einzelnen VLan Aktuell haben wir damit keine Probleme, jedoch wäre die Überlegung jetzt günstig Änderungen vorzunehmen, da wir in absehbarer Zeit eine neue Netzwerkinfrastruktur bekommen. Daher meine Frage macht Separieren via VLan überhaupt sinn? Was man so im Internet gelesen haben sagen die einen. Am Besten jedes Produkt (PC, Server, Drucker) in ein eigendes VLan. Andere Sagen das lohnt sich erst bei einer Größe von über 500 angeschlossenden Geräte. Wie ist euere Erfahrung damit? GrußIngo Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 27. Januar 2015 Melden Teilen Geschrieben 27. Januar 2015 (bearbeitet) Moin, mun, was soll(te) mit VLAN erreicht werden? Warum soll es am Besten sein, PC, Server, Drucker in verschiedene VLAN zu stecken? Letztendlich müssen die PC ja auf Server und Drucker zugreifen, zwischen den VLAN muss es also eine Verbindung geben. Verbindung auf Layer 2(Ethernet) oder Layer 3(IP, Routing)? Zugriffssteuerung mittels Acces Conrol Lists? Neben der Sicherheit steht der Wunsch nach Verringerung des Broadcast, dass könnte mit der Angabe >500 passen. bearbeitet 28. Januar 2015 von lefg Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 27. Januar 2015 Melden Teilen Geschrieben 27. Januar 2015 Bei uns hatte jemand die tolle Idee alles in ein VLAN. Dann gingen die IP Adressen aus, hat dann noch ein Subnetz dazu, und dann später noch eins. Also 3 Class-C Subnetze in einem VLAN, und dann versucht das über ein Forefront TMG zu routen. Wir sind nun in einem aufwendigen Projekt dabei das alles zu entwirren. Bei uns reden wir von irgendwo ~600 Geräten. Beispiele, warum wir das nun in verschiedene VLANs seperieren: - Benutzer steckt Netzwerkkabel in einer Schleife, gesamtes Netzwerk steht still, inkl. Server - Mehrere Subnetze in einem VLAN, Routing klappt nur teilweise. Bei Linux Servern kommt es vor das die erste Anfrage über die Firewall läuft, die Rückantwort aber auf Layer2 (da im ARP Cache), weitere Anfragen werden dann von der Firewall blockiert - kein Zugriff auf die Linux Server bis der ARP Cache verfallen ist - Verteilte Standorte, Leute stecken "ihre" Geräte ohne Erlaubnis einfach mal so ins Netz, haben somit theoretisch freien Zugriff auf die Server und die netten Mitbringseln (Viren) sind auch super - wir sind gezwungen noch einige Geräte mit Windows XP zu haben, das wird nun in ein eigenes VLAN gepackt und entsprechend dicht gemacht das nur noch die 2-3 Ports die unbedingt notwendig sind durchgehen Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 28. Januar 2015 Melden Teilen Geschrieben 28. Januar 2015 (bearbeitet) Streng betrachtet steckt man ja keine Geräte und keine Benutzer in ein VLAN, es sind die Ports der Switches. Geräte und Benutzer kämen in Acces Control Lists, so der Switch so etwas kann (Layer 3) VLAN findet erstmal auf Layer 2 statt (Ethernet), nicht Layer 3(IP). Benutzer steckt Netzwerkkabel in einer Schleife, gesamtes Netzwerk steht still, inkl. Server Es gibt Switches, die haben damit kein Problem. bearbeitet 28. Januar 2015 von lefg Zitieren Link zu diesem Kommentar
IngoR 0 Geschrieben 28. Januar 2015 Autor Melden Teilen Geschrieben 28. Januar 2015 Guten Morgen, und vielen Dank für euer Feedback. Also aktuell ist es so dass wir auch erst alles in einen VLan mit einer Class C (/24) hatten. Dann gingen uns die IP-Adressen aus (Das Netzwerk ist gewachsen). Also haben wir Supernetting gemacht und haben aktuell ein /21 Subnetz. Wie ich schon im ersten Post geschrieben habe, haben wir aktuell keine Probleme. Wir tauschen sehr bald unsere Switche gegen neue Switche aus und da kam einfach auch das Thema Separation mittels VLan auf den Tisch. Ich habe hier im Forum gelesen das einige halt alle Gerätetypen in separate VLan packen und dann die Switche (Entsprechende Switche vorausgesetzt) routen lassen. Meine Frage ist halt ob dieses Sinnvoll ist oder bei einer Zahl von ca. 350 Geräte Over Size ist? Die von Doso angesprochenen Punkte: Benutzer steckt Netzwerkkabel in einer Schleife, gesamtes Netzwerk steht still, inkl. Server Dieses haben wir schon mit Hilfe der Spanning-Tree Option an den Switchen behoben Mehrere Subnetze in einem VLAN, Routing klappt nur teilweise. Bei Linux Servern kommt es vor das die erste Anfrage über die Firewall läuft, die Rückantwort aber auf Layer2 (da im ARP Cache), weitere Anfragen werden dann von der Firewall blockiert - kein Zugriff auf die Linux Server bis der ARP Cache verfallen ist Das haben wir aktuell nicht, da wir nicht mehrere Subnetzte sondern Supernetting gemacht haben. Routen soll auch bei uns der Switch. Verteilte Standorte, Leute stecken "ihre" Geräte ohne Erlaubnis einfach mal so ins Netz, haben somit theoretisch freien Zugriff auf die Server und die netten Mitbringseln (Viren) sind auch super Da würde den Einsatz von 802.1x bedeuten. Den implementierungsaufwand ist, denke ich, nicht zu unterschätzen. Hast du da Erfahrungswerte, was die Einrichtung von 802.1x angeht? Danke für euer Hilfe LG Ingo Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 29. Januar 2015 Melden Teilen Geschrieben 29. Januar 2015 (bearbeitet) Es gibt Switches, die haben damit kein Problem. Wir haben mittlerweile auch Switches mit Loop Detection, die schalten dann einzelne Ports ab. Was wir nun auch schon ein paar mal hatten... :rolleyes: Da würde den Einsatz von 802.1x bedeuten. Den implementierungsaufwand ist, denke ich, nicht zu unterschätzen. Hast du da Erfahrungswerte, was die Einrichtung von 802.1x angeht? Man hat bei uns mal mit Network Access Protection experimentiert, aber das war irgendwie nicht so dolle. 802.1x war auch schon mal im Gespräch, nur hat das im Moment eher den Status eines Wunschgedanken. Erst mal stehen wichtigere Dinge wie eine neue Firewall und auseinanderwuseln des alten Netzwerkes an. Bei uns sind es in einem VLAN so ~400 Geräte. Im anderen VLAN (öffentlich - Studenten) waren es so ~500 Geräte. bearbeitet 29. Januar 2015 von Doso Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 29. Januar 2015 Melden Teilen Geschrieben 29. Januar 2015 (bearbeitet) Bei uns sind es in einem VLAN so ~400 Geräte. Im anderen VLAN (öffentlich - Studenten) waren es so ~500 Geräte. Tatsächlich Geräte und Studenten? Oder Anschlüsse, genauer Ports der Switches? :) bearbeitet 29. Januar 2015 von lefg Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 29. Januar 2015 Melden Teilen Geschrieben 29. Januar 2015 Bei uns kriegen die Studenten bei der Einschreibung einen Ethernet Port eingebaut, ist sehr praktisch, nur immer problematisch mit den Viren.... :jau: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.