So richten Sie ein VLAN-Netzwerk ein


7

Ich ändere mein Netzwerk von jedem Gerät in einem flachen Netzwerk auf die Verwendung von VLans. Mein Problem ist, dass wir bereits viele Geräte in diesem Netzwerk haben (192.168.20.0/24). Aus der Theorie habe ich gelesen, dass jedes Vlan ein anderes Subnetz sein muss, und dann muss ich virtuelle Schnittstellen auf meinem Cisco-Router konfigurieren, um das Inter-Vlan-Routing zu ermöglichen.

1) Wie kann ich dieses Netzwerk mit minimaler Ausfallzeit auf den bereits im Netzwerk befindlichen Geräten segmentieren?

2) Kann ich einfach Vlans erstellen und alle diese Vlans im selben Layer 3-Netzwerk belassen, damit sie das Netzwerk verlassen können (ich mache mir keine allzu großen Sorgen um das Inter-Vlan-Routing), oder ich muss Subnetze erstellen, was bedeutet, dass die vorhandenen neu konfiguriert werden Geräte (etwas, das ich nicht will).


7
Ein schlechtes Verständnis dessen, was VLANs sind und wie sie in einen größeren Sicherheitskontext passen + ohne spezifische Gründe und Ziele für die Implementierung dieser VLANs aus Sicherheitssicht = Fehler. Die Aussage "Ich entwerfe mein Netzwerk, um die Sicherheit zu verbessern" ist wie die Aussage "Ich möchte eine bessere Person sein". Es gibt keinen Kontext, aus dem eine Antwort formuliert werden kann.
Joeqwerty

Ich habe den Sicherheitstext daraus entfernt. Die Frage der Sicherheit von VLans können wir auf Security.SE (oder hier) diskutieren, aber nicht in der gleichen Frage wie die Implementierung / wie dies mit begrenzten Ausfallzeiten zu tun ist. Ich habe diese Frage auf Letzteres konzentriert.
Jeff Ferland

1
Wenn Sie sich nach dem Lesen von voretaq7s anser dazu entschließen, VLANs weiter zu verfolgen, tun Sie sich selbst einen Gefallen und lernen Sie den Unterschied zwischen markiert und nicht markiert. Ein Mangel an Verständnis kann zu viel Frustration führen.
Luke

@Luke Guter Punkt - Ich bin nicht auf Tagged / Untagged (und Tagged Ingress / Untagged Egress oder umgekehrt) gekommen. Ich habe es auch vermieden, die Unterschiede zwischen 802.1Q-vLAN-Tagging zu diskutieren (was die meisten Leute meinen, wenn sie sagen " vLAN ") und" portbasierte vLANs ", die weniger flexibel und im Allgemeinen nervig sind.
voretaq7

Antworten:


26

Wie Joeqwerty bereits bemerkt hat, nähern Sie sich dem mit einem unzureichenden Grundverständnis, kombiniert mit vage definierten Zielen. Sie bereiten sich auf Fehler, Ausfallzeiten und Sicherheitslücken vor. Anstatt nur Ihre Fragen wie gewünscht zu beantworten, werde ich mich einem kleinen "vLAN 101" -Tutorial hingeben, das für Sie vielleicht etwas nützlicher ist.


Sie scheinen einige grundlegende Missverständnisse über die vLAN-Segmentierung zu haben und wie sie in die Netzwerkarchitektur passt. Lassen Sie uns also ALLLLLLL für eine Minute zum Anfang zurückführen:

Auf der Ebene der Netzwerkarchitektur können Sie die sehr vereinfachte Ansicht vertreten, dass ein vLAN nichts anderes als ein separater Switch ist, der nicht mit einem anderen Switch (vLAN) verbunden ist.

Wenn Sie vLANs auf diese Weise betrachten, wird relativ klar, wie sie verwendet werden: Wenn Sie nicht möchten, dass Maschinen Group Amit Maschinen in Group BIhnen kommunizieren können, legen Sie sie in separate vLANs und zwingen sie, einen Router zu durchlaufen (idealerweise einen) mit Firewall-Funktionalität), um miteinander zu sprechen.
Unter fast allen Umständen ist es besser (und einfacher), dies zu tun, indem Sie die Computer auch in verschiedene IP-Netzwerke (Subnetze) stellen. Computer in einem vLAN befinden sich im selben Subnetz und können so oft untereinander chatten, wie sie möchten, aber wenn Sie möchten mit jemandem außerhalb ihres vLANs sprechen, der sich auch außerhalb ihres Subnetzes befindet. Daher werden sie an ihr Standard-Gateway weitergeleitet, das die Sicherheitsbedenken erfüllt, wer unter welchen Umständen mit wem sprechen kann.

VLAN-Architektur in 11 einfachen Schritten:

  1. Finden Sie heraus, welche Maschinen logische Gruppen bilden. Dies sind Ihre vLANs
    In einer sehr einfachen Umgebung könnte dies sein Web Serversund Database Servers.
    In komplexeren Umgebungen haben Sie möglicherweise viele Gruppen und können mehrere Gruppen in einem einzigen vLAN kombinieren. Dies ist eine Architekturentscheidung, die Sie treffen müssen.

  2. Finden Sie ein Adressierungsschema heraus, das zu Ihren vLANs passt.
    Wenn Sie großes Glück haben, passt jedes vLAN in eine / 24 und Sie können eine darauf basierende Topologie erstellen. Wenn Sie nicht so viel Glück haben, finden Sie heraus, welche vLANs größere (oder kleinere) Blöcke benötigen.

  3. Zeichnen Sie, was Sie bisher getan haben, auf Papier.

  4. Finden Sie heraus, welche vLANs miteinander kommunizieren müssen.
    Welche Ports / Dienste sollten zwischen vLANs / Netzwerken geöffnet sein?
    Welche anderen Bedingungen müssen erfüllt sein, damit Ihre Umgebung funktioniert?

  5. Zeichnen Sie, was Sie sich ausgedacht haben, auf Papier. Stellen Sie sicher, dass es vernünftig ist, und konvertieren Sie es dann in eine Firewall- / Router-Richtlinie.

  6. Entwurf einer Firewall / Router-Konfiguration. Idealerweise spielen Sie damit in einer Testumgebung.

  7. Zeichnen Sie Ihren Schalter auf Papier und ordnen Sie zu, welche Ports zu welchen vLANs führen.
    Es ist hilfreich, Verbindungen physisch so zu gruppieren, dass sie sich im selben logischen vLAN befinden. Dies ist jedoch nicht unbedingt erforderlich.

  8. Verwandeln Sie Ihre Schalterzeichnung in eine Schalterkonfiguration. Idealerweise spielen Sie damit in einer Testumgebung.

  9. Bereinigen Sie Ihre Zeichnungen auf Papier. Die logische Zeichnung sollte ungefähr so ​​aussehen:
    Netzwerkdiagramm
    (Das Bild wurde verkleinert, um Dinge zu verdecken, die Sie nicht lesen müssen.)

  10. Lassen Sie sich von jemand anderem Ihr Design ansehen.
    Sie können nach Serverfehlern fragen, aber es ist besser, wenn jemand, der mit Ihrer Umgebung vertraut ist, sie sich ansieht, da er mit größerer Wahrscheinlichkeit potenzielle Schäden entdeckt.

  11. Nehmen Sie sich ein Wochenende Zeit und verwandeln Sie Ihr logisches Design in eine physische Realität.
    (Es sollte selbstverständlich sein, dass Sie einen Rollback-Plan haben sollten, falls die Dinge schrecklich schief gehen, aber ich sage es trotzdem.)

(Wenn Sie SEHR gut sind, können Sie möglicherweise einige der obigen Schritte "Auf Papier zeichnen" überspringen, aber ich empfehle nicht, dies beim ersten Mal zu überspringen.)


Betreff: Die zwei spezifischen Fragen, die Sie gestellt haben:

1) Wie kann ich dieses Netzwerk mit minimaler Ausfallzeit auf den bereits im Netzwerk befindlichen Geräten segmentieren?

Das kannst du nicht. Das Aufteilen Ihres Netzwerks in vLANs erfordert ein Ausfallfenster. Sie müssen Ihren Switch neu konfigurieren, Computer in verschiedene logische Netzwerke verschieben, das Routing konfigurieren, wahrscheinlich einige Kabel verschieben usw. usw. usw.
Planen Sie einen Ausfall ab 17.00 Uhr und Freitag Wenn Sie zum ersten Mal ein ordnungsgemäß segmentiertes Netzwerk entwerfen, werden Sie einige Zeit damit verbringen, Fehler zu beheben.

2) Kann ich einfach Vlans erstellen und alle diese Vlans im selben Layer 3-Netzwerk belassen, damit sie das Netzwerk verlassen können (ich mache mir keine Sorgen um das Vlan-Routing), oder ich muss Subnetze erstellen, was bedeutet, dass die vorhandenen Geräte neu konfiguriert werden ( etwas was ich nicht will)

Können Sie? Ja.
Wird es Ihnen etwas in Bezug auf Sicherheit kaufen? Nicht wirklich.
Wird es das gesamte Projekt zehnmal schwieriger machen? Absolut.
Sollten Sie ein Netzwerk auf diese Weise entwerfen? NEIN.


1
Sehr netter Chef. Eine Sache, die er nutzen sollte, ist, wenn er neue Switches kauft, um dies zu erreichen, sich die Zeit zu nehmen, um sie mit einigen alten Laptops, einer pfSense-Box usw. zu "testen", um die Theorie in die Praxis umzusetzen und die Switch-Syntax / Benutzeroberfläche zu lernen , etc.
Soße Gesicht

1
Absolut - Wenn Sie von einer flachen Topologie mit nicht verwalteten Switches zu einer vLAN-Segmentierung auf verwalteten Switches wechseln, ist der Übergang eine gute Zeit, um ein oder zwei zusätzliche Wochen damit zu verbringen, sich mit den Vor- und Nachteilen Ihrer neuen Hardware vertraut zu machen. Sie können Ihr vLAN-Design auch mit VMWare testen - ESXi unterstützt markierte vLANs im virtuellen Switch. Dies ist eine hervorragende Möglichkeit, um zu lernen, ohne viel Hardware kaufen oder mit Kabeln umgehen zu müssen. (Als Bonus können Sie diesen virtuellen Switch direkt an einen Trunk-Port Ihres physischen Switches und die vLAN-Tags anschließen. Just Work - zumindest in einfachen Konfigurationen.)
voretaq7

3

Wie kann ich dieses Netzwerk mit minimaler Ausfallzeit auf den Geräten segmentieren, die sich bereits im Netzwerk befinden?

Belassen Sie das aktuelle Netzwerk als Standard-VLan. Konfigurieren Sie für jedes Gerät, das in ein neues VLan verschoben wird, seinen Port neu und ändern Sie seine Adressinformationen geräteweise in das entsprechende Subnetz.

Kann ich einfach Vlans erstellen und alle diese Vlans im selben Layer 3-Netzwerk belassen?

Nein, das ist völlig gegen das Konzept eines VLan.

(Ich mache mir keine Sorgen um das Vlan-Routing)

Sie müssen Routing zwischen VLans bereitstellen, damit Geräte auf verschiedenen VLans kommunizieren können.

oder [do] Ich muss Subnetze erstellen, was bedeutet, dass die vorhandenen Geräte neu konfiguriert werden (etwas, das ich nicht möchte).

Dann möchten Sie vielleicht keine VLans haben.


Es gibt einige furchtbar unangenehme Dinge, die Sie tun können, wenn ein Subnetz mehrere vLANs umfasst. Ich habe es einmal gesehen. Haben Sie jemals eine Schule von Piranha gesehen, die einen Lebenselefanten frisst? (Nein? Ich auch, aber ich stelle mir vor, es sieht dieser Umgebung sehr ähnlich :-)
voretaq7

@ voretaq7 Heute habe ich erfahren, dass Proxy Arp wie eine Piranha-Schule aussehen könnte, die einen Elefanten frisst. Nett.
Jeff Ferland

2
SHH! Sprich nicht seinen Namen! Es ist wie bei Bloody Mary - wenn du es dreimal sagst, während du auf deine Schalter schaust, werden die Kabel lebendig und erwürgen dich!
voretaq7
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.