Re: [OT] VLAN Design & Routing

From: Daniel Melanchthon [MVP] (melanchthon_at_gmx.de)
Date: 10/08/04 

Date: Fri, 08 Oct 2004 18:12:18 +0200

Thomas Wildgruber schrieb:

> Über den Sinn/Unsinn bzw. etwaige Alternativen würde ich gerne diskutieren.

Denk dran: Ein VLAN ersetzt eine Firewall (und für all die
Nachplapperer von .security.firewall: Ja, das beschränkt sich nicht
auf Hard- und/oder Software, sondern umfaßt auch ein Konzept). Vor
allem nicht, wenn Du dazwischen routest.

> Bei den restlichen zwei VLAN's (VPN/RAS und Internetgateway) bin ich selber
> noch am rätseln ob das das Gelbe vom Ei wird ;-)

Das Internetgateway hängt normalerweise direkt an einem Firewallport.
Da brauchst Du kein VLAN. Bei allen anderen Zugriffen (RAS, WLAN,
Entwickler, etc.) mußt Du Dir erst mal üerlegen, was die nutzen
sollen. Danach kommen FIrewalls und VLAN ins Spiel. Wenn das Ergebnis
lautet, dass die Entwickler Fileserver und Domaine eines anderen VLANs
nutzen sollen, was willst DU denn dazwischen dann filtern? Das würde
eher in Richtung Aufbau einer domainintegrierten CA und
IPSec-Verschlüsselung zwischen CLient und Server hinauslaufen...

>>Es gibt unter W2003 noch die Möglichkeit RAS- und Laptopuser erst in einen
>>Quarantainebereich (Subnetz) einzuloggen, da auf Viren, Updates etc zu
>>scannen und erst dann in das Netz zu lassen.
>>soweit erstmal
>
> Das ist mir neu und klingt hochinteressant. Hättest du hier mehr
> Information evtl. in Form diverser Links oder/und Stichwörter zum googlen?

Eine Möglichkeit faßt das Stichwort "Network Firewall" zusammen. Lies
Dir mal die PDFs von TrendMicro bezüglich der Zusammenarbeit mit Cisco
NAC durch:

http://de.trendmicro-europe.com/enterprise/about_us/aliances.php?id=8
http://de.trendmicro-europe.com/www/cisco/ 

-- 
Gruss aus dem Hoch im Norden!
Daniel Melanchthon - MVP Exchange Server
"Banging your head against a wall uses 150 calories an hour!"

Relevant Pages

  • Re: [OT] VLAN Design & Routing
    ... weil nur die Verwaltung über einen Internetzugang verfügt. ... > Da brauchst Du kein VLAN. ... Die Firewall wird an einem ... Port am Switch angeschlossen -> Nur an welchem? ...
    (microsoft.public.de.german.windows.server.networking)
  • Re: [fw-wiz] Problem with Cisco Firewall Service Module running in transparent mode
    ... >I have attempting to get a Cisco Firewall Service Module (FWSM) running ... >software version 2.2in transparent mode and multiple context mode. ... I first remove this vlan interface from the MSFC2 ...
    (Firewall-Wizards)
  • Re: [fw-wiz] Worms, Air Gaps and Responsibility
    ... I've been thinking quite a lot about having switches ... It should be possible to put each host in it's own vlan and trunk all ... I use an iptables firewall configuration interface called shorewall ... interfaces (each vlan on the switch corresponds to a vlan interface on the ...
    (Firewall-Wizards)
  • Re: [OT] VLAN Design & Routing
    ... Normalerweise hängt der WAN-Port der Firewall am INternetgateway. ... > Verwaltungs VLAN gehört, an einem Port der zum DTP VLAN gehört oder an ... VLANs konfigurierst Du auf einem Switch, um z.B. zwei getrennte Netze, ...
    (microsoft.public.de.german.windows.server.networking)
  • Re: CEICW fails at firewall config
    ... Do you or do you not have ISA 2000 or ISA 2004 installed on the SBS server? ... Do you have 2 NICs in the SBS? ... CEICW fails on firewall configuration every time. ... >>> Call to Creating the protected networks access rule returned ok. ...
    (microsoft.public.windows.server.sbs)