Re: [OT] VLAN Design & Routing
From: Thomas Wildgruber (to.wi_nospam_at_web.de)
Date: 10/08/04
- Next message: Daniel Melanchthon [MVP]: "Re: [OT] VLAN Design & Routing"
- Previous message: r.stunz_at_tlt.de: "IP-Fehler"
- In reply to: Daniel Melanchthon [MVP]: "Re: [OT] VLAN Design & Routing"
- Next in thread: Daniel Melanchthon [MVP]: "Re: [OT] VLAN Design & Routing"
- Reply: Daniel Melanchthon [MVP]: "Re: [OT] VLAN Design & Routing"
- Messages sorted by: [ date ] [ thread ]
Date: Fri, 8 Oct 2004 19:06:40 +0200
On Fri, 08 Oct 2004 18:12:18 +0200, Daniel Melanchthon [MVP] wrote:
> Thomas Wildgruber schrieb:
>
>> Über den Sinn/Unsinn bzw. etwaige Alternativen würde ich gerne diskutieren.
>
> Denk dran: Ein VLAN ersetzt eine Firewall (und für all die
> Nachplapperer von .security.firewall: Ja, das beschränkt sich nicht
> auf Hard- und/oder Software, sondern umfaßt auch ein Konzept). Vor
> allem nicht, wenn Du dazwischen routest.
Die VLAN's sollten erstmal die Broadcasts im eigenen Netz halten und wie
schon angesprochen die Satzabteilung von der Verwaltung getrennt halten und
dennoch vereinzelt untereinander Zugriffe ermöglichen z.B. könnte ich dann
auch remote auf die Rechner der Satzabteilung zugreifen oder ich könnte die
Virenscanner der Satzabteilung online updaten. Bislang ist dies nicht
möglich, weil nur die Verwaltung über einen Internetzugang verfügt. Es
würden sich auch im Laufe der Zeit sicher noch eine Menge anderer Gründe
ergeben um vom "Turnschuhnetzwerk" wegzukommen. Durch die pysikalische
Trennung der beiden Netze entsteht viel Lauferei und es behindert den
Aufbau gemeinsam genutzter Resourcen (Bilddatenbanken etc.)
>> Bei den restlichen zwei VLAN's (VPN/RAS und Internetgateway) bin ich selber
>> noch am rätseln ob das das Gelbe vom Ei wird ;-)
>
> Das Internetgateway hängt normalerweise direkt an einem Firewallport.
> Da brauchst Du kein VLAN.
Welchen Firewallport?
Firewall/Internetgateway ist bei uns dasselbe. Die Firewall wird an einem
Port am Switch angeschlossen -> Nur an welchem? Ein Port der zum
Verwaltungs VLAN gehört, an einem Port der zum DTP VLAN gehört oder an
einen eigenen VLAN Port?
Das ist wohl der Knacksus in meiner Überlegung -> Ich gebs zu ;-)
> Bei allen anderen Zugriffen (RAS, WLAN,
> Entwickler, etc.) mußt Du Dir erst mal üerlegen, was die nutzen
> sollen. Danach kommen FIrewalls und VLAN ins Spiel. Wenn das Ergebnis
> lautet, dass die Entwickler Fileserver und Domaine eines anderen VLANs
> nutzen sollen, was willst DU denn dazwischen dann filtern?
Okay, das interne Firewallkonzept steht wohl auch noch etwas wackelig da.
Einfach wirds auf alle Fälle nicht ;-)
> Das würde
> eher in Richtung Aufbau einer domainintegrierten CA und
> IPSec-Verschlüsselung zwischen CLient und Server hinauslaufen...
Das machts auch nicht einfacher ;-)
>>>Es gibt unter W2003 noch die Möglichkeit RAS- und Laptopuser erst in einen
>>>Quarantainebereich (Subnetz) einzuloggen, da auf Viren, Updates etc zu
>>>scannen und erst dann in das Netz zu lassen.
>>>soweit erstmal
>>
>> Das ist mir neu und klingt hochinteressant. Hättest du hier mehr
>> Information evtl. in Form diverser Links oder/und Stichwörter zum googlen?
>
> Eine Möglichkeit faßt das Stichwort "Network Firewall" zusammen. Lies
> Dir mal die PDFs von TrendMicro bezüglich der Zusammenarbeit mit Cisco
> NAC durch:
>
> http://de.trendmicro-europe.com/enterprise/about_us/aliances.php?id=8
> http://de.trendmicro-europe.com/www/cisco/
Gerne - Danke
Bye Tom
-- Was wir von der Bush Administration zu halten haben, wissen wir ja schon. Was wir vom amerikanischen Volk zu halten haben, erfahren wir bei den kommenden Wahlen. (tw 09'04)
- Next message: Daniel Melanchthon [MVP]: "Re: [OT] VLAN Design & Routing"
- Previous message: r.stunz_at_tlt.de: "IP-Fehler"
- In reply to: Daniel Melanchthon [MVP]: "Re: [OT] VLAN Design & Routing"
- Next in thread: Daniel Melanchthon [MVP]: "Re: [OT] VLAN Design & Routing"
- Reply: Daniel Melanchthon [MVP]: "Re: [OT] VLAN Design & Routing"
- Messages sorted by: [ date ] [ thread ]
Relevant Pages
|
