Durch eine Firmenauftrennung wird es bei uns nötig die Benutzernetze zu trennen. Ich habe mich schon intensiv mit dem Handbuch und den Foreneinträgen beschäftigt aber leider nichts passendes gefunden.
Dabei gibt es zwei Firmen.
Es soll mangels ausreichender Switch Hardware mit VLAN vorerst unser Officenetz (aktuell 192.168.10.0/24 mit VLAN-aktivierten Cisco Switches) logisch aufgetrennt werden und der LANCOM Router soll anhand des ankommenden VLAN Tags und der Firewall entscheiden welche Server erreicht werden dürfen. Auf Server-Intranetseite soll vorerst auf VLANs verzichtet werden (bzw. die VLAN Tags beim Verlassen nicht neu gesetzt werden).
Dabei kommen bei ETH-1 jeweils Ethernet Frames mit
Firma A == VLAN Tag 2
Firma B == VLAN Tag 2
an und sollen entsprechender ihres VLAN Tags an die erlaubten Server weitergeleitet werden.
Das die Ciscoswitches die Ethernet Frames taggen habe ich schon hinbekommen und das ist nicht das Problem. Nur ist mir nicht klar wie ich den Lancom Router bzw. die Firewall dazu bekomme die
- VLAN Tags auswerte (z.B. wenn ein Ethernet Frame mit VLAN Tag 2 ankommt sollte das entsprechende Routing Tag auf zwei gesetzt werden/sein)
- die Firewall anhand der (Routing?) Tags entscheidet was man darf und was nicht
VLAN Konfiguration am Lancom 7100+
Moderator: Lancom-Systems Moderatoren
Re: VLAN Konfiguration am Lancom 7100+
Hi joblack,
das wirst du so gar nicht hinbekommen, denn die Firewall arbeitet auf IP-Ebene (Layer 3), während sich VLANs auf dem Layer 2 befinden. Die Firewall sieht somit nichts mehr von den VLANs... Du kannst hier nur anfangen die Netze IP-mässig zu trennen - die Netze kannst du dann auch gerne den VLANs zuordnen (Achtung: genaugenommen bildest du dabei aus jeweils einem LAN-Interface und einem VLAN-Tag ein virtuelles Interface, dem dann das Netz zugewiesen wird)
Netz A: Firma A
Netz B: Firma B
Netz C: Server-Netz.
Dann kannst du auch über die Fireall festlegen, wer wohin darf...
Gruß
Backslash
das wirst du so gar nicht hinbekommen, denn die Firewall arbeitet auf IP-Ebene (Layer 3), während sich VLANs auf dem Layer 2 befinden. Die Firewall sieht somit nichts mehr von den VLANs... Du kannst hier nur anfangen die Netze IP-mässig zu trennen - die Netze kannst du dann auch gerne den VLANs zuordnen (Achtung: genaugenommen bildest du dabei aus jeweils einem LAN-Interface und einem VLAN-Tag ein virtuelles Interface, dem dann das Netz zugewiesen wird)
Netz A: Firma A
Netz B: Firma B
Netz C: Server-Netz.
Dann kannst du auch über die Fireall festlegen, wer wohin darf...
Gruß
Backslash
Re: VLAN Konfiguration am Lancom 7100+
Danke für Deine Antwort.
Mir ist schon klar dass VLANs auf dem Layer2 sind. Allerdings hat der LANCOM Router auch die Option VLAN-Daten von Layer 2 zu Layer 3 und umgekehrt zu kopieren (LCOS-Referenzhandbuch: 11.5.2 Konfiguration des VLAN-Taggings auf Layer 2/3). Offensichtlich haben auch die Routing Tags, die vom Router von den Layern unabhängig gesetzt werden, irgendwie eine Wechselwirkung mit den VLAN Tags.
Davon abgesehen gibt es auch ein paar interne Server (z.B. Telefonserver) die von beiden Firmen benutzt werden sollen. Es muss doch möglich sein dass beide Firmen auf diese Server zugreifen können?
Mir ist schon klar dass VLANs auf dem Layer2 sind. Allerdings hat der LANCOM Router auch die Option VLAN-Daten von Layer 2 zu Layer 3 und umgekehrt zu kopieren (LCOS-Referenzhandbuch: 11.5.2 Konfiguration des VLAN-Taggings auf Layer 2/3). Offensichtlich haben auch die Routing Tags, die vom Router von den Layern unabhängig gesetzt werden, irgendwie eine Wechselwirkung mit den VLAN Tags.
Davon abgesehen gibt es auch ein paar interne Server (z.B. Telefonserver) die von beiden Firmen benutzt werden sollen. Es muss doch möglich sein dass beide Firmen auf diese Server zugreifen können?
Re: VLAN Konfiguration am Lancom 7100+
Hi joblack
Gruß
Backslash
nein! Da geht es nicht um VLAN-Tags, sondern um Priority-Tags die vom Layer 3 in das DiffServ-Feld kopiert werden - und umgekehrt...Allerdings hat der LANCOM Router auch die Option VLAN-Daten von Layer 2 zu Layer 3 und umgekehrt zu kopieren (LCOS-Referenzhandbuch: 11.5.2 Konfiguration des VLAN-Taggings auf Layer 2/3)
nein! Routing-Tags dienen der Router-Virtualisierung und arbeiten rein auf Layer 3. Sie sind völlig unabhängig von VLAN-Tags. Wenn du allerdings VLANs über geroutete Verbindungen "erhalten" willst, dann bleibt dir nicht anderes übrig, als für jedes VLAN einen eigenen Routing-Kontext zu erstellen, der komplett von den anderen isoliert ist. Bei n VLANs brauchst du somit n Routing-Tags und n Routing-Einträge zu n Gegenstellen, die auf der Gegenseite wieder gebündelt und dann auf n VLANs verteilt werden...Offensichtlich haben auch die Routing Tags, die vom Router von den Layern unabhängig gesetzt werden, irgendwie eine Wechselwirkung mit den VLAN Tags.
Gruß
Backslash
Re: VLAN Konfiguration am Lancom 7100+
Hy Backslash,
die VLANs Tags werden also nur im IP-Netzwerke Bereich beachtet und sonst links liegen gelassen? Beim Routing und der Firewall spielen sie also überhaupt keine Rolle bzw. ich könnte sie auch nicht als internes Router-VLAN-Tag mitziehen oder abfragen?
Wenn ich den zwei Firmen unterschiedliche Office IP-Bereiche (z.B. 192.168.10.x und 192.168.11.x) und VLANs zuordnen würde und diese bei dem Punkt IP-Netzwerke entsprechend mit einem LAN-Tag kennzeichne könnte ich ganz normal mit der Firewall Regeln aufbauen? Kann ich dann trotz unterschiedlicher VLANS mit dem Router explizit in die Netze routen (also vom Firmennetz 1 ins Firmennetz 2) falls ich das wollte?
die VLANs Tags werden also nur im IP-Netzwerke Bereich beachtet und sonst links liegen gelassen? Beim Routing und der Firewall spielen sie also überhaupt keine Rolle bzw. ich könnte sie auch nicht als internes Router-VLAN-Tag mitziehen oder abfragen?
Wenn ich den zwei Firmen unterschiedliche Office IP-Bereiche (z.B. 192.168.10.x und 192.168.11.x) und VLANs zuordnen würde und diese bei dem Punkt IP-Netzwerke entsprechend mit einem LAN-Tag kennzeichne könnte ich ganz normal mit der Firewall Regeln aufbauen? Kann ich dann trotz unterschiedlicher VLANS mit dem Router explizit in die Netze routen (also vom Firmennetz 1 ins Firmennetz 2) falls ich das wollte?
Re: VLAN Konfiguration am Lancom 7100+
Hi joblack,
In deinem Fall kannst du Firma A z.B. das Tag 1, Firma B das Tag 2 und dem Server-Netz das Tag 3 gaben. Damit sind die Netze erstmal komplett voneinander getrennt. Wenn jetzt aus einer der Firmen auf einen Server zugegriffen werden soll, dann erstellst du eine passende Allow-Regel (Quelle: Netz der Firma A oder B, Ziel: IP des Servers, Routing-Tag 3). Damit sparst du dir Sperr-Regeln zwischen den Netzen - insbesondere kommst du auch aus dem Server-Netz in keines der Firmennetze...
Wenn du allen Netzen das gleiche Tag (z.B. 0 - das ist der Default) gibst, dann sehen sich die Netze auch und du mußt zusätzlich Sperr-Regeln für die Netze, die sich nicht sehen sollen, erstellen.
Gruß
Backslash
genau... Wie ich schon sagte: ein reales LAN-Interface und eine VLAN-ID bilden zusammen ein virtuelles Interface, an das dann das IP-Netz geheftet wird...die VLANs Tags werden also nur im IP-Netzwerke Bereich beachtet und sonst links liegen gelassen?
exakt...Beim Routing und der Firewall spielen sie also überhaupt keine Rolle bzw. ich könnte sie auch nicht als internes Router-VLAN-Tag mitziehen oder abfragen?
ja, aber... Wenn du die Netze mit Routing/Interface-Tags versiehst, dann erzeugst du virtuelle Router, die die Netze (erstmal) nicht verlassen können, d.h. zwei Netze mit unterschiedlichen Tags können sich nicht sehen. Du kannst diese Sichtbarkeiten aber über Firewallregeln "überschreiben", indem du der Regel das Tag des Zielnetzes mitgibst.Wenn ich den zwei Firmen unterschiedliche Office IP-Bereiche (z.B. 192.168.10.x und 192.168.11.x) und VLANs zuordnen würde und diese bei dem Punkt IP-Netzwerke entsprechend mit einem LAN-Tag kennzeichne könnte ich ganz normal mit der Firewall Regeln aufbauen?
In deinem Fall kannst du Firma A z.B. das Tag 1, Firma B das Tag 2 und dem Server-Netz das Tag 3 gaben. Damit sind die Netze erstmal komplett voneinander getrennt. Wenn jetzt aus einer der Firmen auf einen Server zugegriffen werden soll, dann erstellst du eine passende Allow-Regel (Quelle: Netz der Firma A oder B, Ziel: IP des Servers, Routing-Tag 3). Damit sparst du dir Sperr-Regeln zwischen den Netzen - insbesondere kommst du auch aus dem Server-Netz in keines der Firmennetze...
Wenn du allen Netzen das gleiche Tag (z.B. 0 - das ist der Default) gibst, dann sehen sich die Netze auch und du mußt zusätzlich Sperr-Regeln für die Netze, die sich nicht sehen sollen, erstellen.
ja, denn VLANs beziehen sich nur auf den Layer 2. Im Layer 3 haben sie keinerlei BedeutungKann ich dann trotz unterschiedlicher VLANS mit dem Router explizit in die Netze routen (also vom Firmennetz 1 ins Firmennetz 2) falls ich das wollte?
Gruß
Backslash
Re: VLAN Konfiguration am Lancom 7100+
Super - danke.
Deine wenigen Sätze waren informativer als die vielen LANCOM Handbuchseiten zu den Themen. Das Handbuch ist wie schon gesagt wirklich ... "verbesserungswürdig".
Deine wenigen Sätze waren informativer als die vielen LANCOM Handbuchseiten zu den Themen. Das Handbuch ist wie schon gesagt wirklich ... "verbesserungswürdig".