VLAN konfiguration
Hallo. Ich betreibe an einem Cisco Switch 10 Anwendungsserver in einer DMZ. An einem weiteren Port ist ein zentraler Uplink zu einem Paketfilter installiert. Alle Server können lediglich über den zentralen Paketfilter in andere Netzwerke kommunizieren. Sollte jedoch auch nur ein Server eine Fehlunktion aufweisen oder fernadministriert werden sind alle am gleichen Switch angeschlossenen Server verwundbar, da es keine Kommunikationrestriktionen auf Layer 2 gibt. Ich möchte nun jeden Port in ein eigenes VLAN konfigurieren und in jedes VLAN den Uplink Port zum PF aufnehmen. Damit soll erreicht werden, dass die Server nur noch über den PF kommunizieren können und nicht auf direktem Wege mit Servern des gleichen Switches. Ist es möglich dies umzusetzen? Evtl. kann man nicht mehrere VLANs an den Uplink Port binden? Danke. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VLAN konfiguration
Am Montag, 7. März 2005 15:24 schrieb Oliver Fritz: Hallo. Selber Hallo. Evtl. flachse Liste erwischt? Das ist ja hier mehr als OT. Und dann auch noch 2 x mit unterschiedlichem Subject? Nun zu trotzdem zu deinen Fragen Ich betreibe an einem Cisco Switch 10 Anwendungsserver in einer DMZ. An einem weiteren Port ist ein zentraler Uplink zu einem Paketfilter installiert. Alle Server können lediglich über den zentralen Paketfilter in andere Netzwerke kommunizieren. Sollte jedoch auch nur ein Server eine Fehlunktion aufweisen oder fernadministriert werden sind alle am gleichen Switch angeschlossenen Server verwundbar, da es keine Kommunikationrestriktionen auf Layer 2 gibt. Gut, das kann man ja auf den Servern einrichten, indem man Pakete von den anderen Servern sperrt. Ich möchte nun jeden Port in ein eigenes VLAN konfigurieren und in jedes VLAN den Uplink Port zum PF aufnehmen. Auch wenn du nicht schreibst, welchen Cisco-Switch du verwendest - 10 VLANs können die immer ;-) Damit soll erreicht werden, dass die Server nur noch über den PF kommunizieren können und nicht auf direktem Wege mit Servern des gleichen Switches. Ist es möglich dies umzusetzen? Ja. Für die Konfiguration des CISCO siehe in das CISCO-Handbuch und das Handbuch zum IOS. Evtl. kann man nicht mehrere VLANs an den Uplink Port binden? Das wäre ja ein Schwachsinn. Die Pakete werden dann getagged über diesen Port weiter geleitet. Allerdings muss jetzt dein PF die VLAN-Tags wieder entfernen können. Wenn es ein Debian ist, kann er es (IIRC gibt es aber bei bestimmten NICs Probleme). -- Gruß MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Re: VLAN konfiguration
Oliver Fritz schrieb am Montag, 07. März 2005 um 15:24:09 +0100: Hallo. Ist es möglich dies umzusetzen? Evtl. kann man nicht mehrere VLANs an den Uplink Port binden? Ja, definiere den Uplink als Trunkport, nutze 802.1q als Trunking und konfiguriere das Trunking auch auf deinem Paketfilter. Zumindest Linux kann das. Allerdings wird das dann ziehmlich aufwändig im Paketfilter, da jedes VLAN dort ein eigenes Interface hat. Als Alternative kennen manche Cisco-Switche pVlan (Private VLAN). Alle Ports sind im gleichen VLAN, jedoch sehen sich die Geräte untereinander nicht, bis auf das Gateway. -- Jörg Friedrich There are only 10 types of people: Those who understand binary and those who don't. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
