vorab zur Info: Viele Jahre habe ich stets mittels physischer Trennung die Kundennetze separieren können. VLAN war für mich lange ein rotes tuch, welches ich wegen der deutlich erhöhten Komplexität nie bei den Kunden nutzen wollte. Wie es aber so ist, irgendwann schaut man sich aber doch mal neue Sachen an, weil es nicht anders geht oder weil, wie im Lancom Falle, einfach eine vermeintlich gute Lösung ein komplexes Thema an einigen Stellen doch einfacher sein bzw. darstellen läss...
Einige kleinere LMC Projekte (mit VLANs) habe ich also nun schon umsetzen können. Aber eine Sache, die mich noch umtreibt, ist die Thematik mit dem Management Netz der LMC Geräte. Dabei geht es mir erstmal nur um die Switche.
Wie wir wissen, muss LMC verwaltete Hardware auf dem ungetaggten LAN angesprochen werden. Das zu ändern ist zwar grundsätzlich möglich aber mit Einrichtungsaufwand (Add-In Skript) verbunden und es entspricht nicht dem vom Hersteller vorgesehenem Standard (macht ja wohl nicht nur Lancom so?). An einem so neuralgischen Punkt bin ich tendenziell eher gegen einen Sonderweg, denn die Verfügbarkeit und Stabilität der Verwaltung ist m.E. in diesem Fall zu priorisieren.
Ausgangslage:
Wenn ich beim Kunden ein LMC Projekt beginne/plane, dann ist hier in der Regel das Ausgangs LAN/Netzwerk eine Broadcast Domain/ein Netzwerk, folglich ungetagged und oft ein Class C Netz.
Jetzt habe ich, nach allem, was ich bisher mit der LMC erlebt und gemacht habe also eigentlich nur diese Möglichkeit:
Ich verwende künftig das Ausgangs LAN als unttaged LMC Verwaltungsnetz und richte dieses in der LMC auch als untagged Management Netz ein. Jeder Switch bekommt dieses als Management Netz an mindestens einem Port zugewiesen.
Damit habe ich die Switche auf Management Ebene entweder in meinem Ausgangs LAN/Netzwerk oder ich tue mir dann noch den Aufwand an und designe das Netzwerk mittels verschiedener VLANs komplett um, mit dem damit entsprechend verbundenen Aufwand.
Das (LMC Management über das Ausgangs LAN) mag für die Switche noch OK sein aber wenn ich so an die Access Points denke, finde ich das problematisch und wollte mal dazu andere Meinungen einholen:
Bei den Access Points sagt Lancom/LMC ebenfalls: Management nur auf dem untagged Netzwerk.
Access Points als eine Art Medienübersetzer, deren Reichweite nicht durch physische Kabel (wie bei den Switchen) begrenzt ist, sind für mich sicherheitstechnisch im untagged LAN ein NoGo. Bisher zumindest, weil ich WLAN Hardware stets in eigenen DMZ Zone, also einem physischen Port der Firewall, separiert habe. Damit konnte ich zu 100% sicherstellen, dass das WLAN Zeugs nicht mit der kritischen Netzstruktur in Berührung kommt.
Wenn ich mir nun für Lancom APs überlege, dass die mit ihrem physischen interface im untagged LAN hängen... mir ist da nicht wohl dabei und auch hier stünde im Grunde ein komplettes Redesign des Netzwerkes an, damit ich das untagged LAN nur noch als Management Netz nutzen kann und meine klare Netzwerk Trennung habe, wie ich es bisher gewohnt bin und am sichersten finde...
Ich hoffe Ihr konntet mir folgen?
