parityman Geschrieben 25. Februar 2008 Geschrieben 25. Februar 2008 Hallo, Ich hab folgende Konstellation: einen 48-Port Switch Gigabit Switch und eine Astaro Firewall. Ich möchte auf dem Switch mehrere VLANs anlegen. Die Firewall soll als Gateway für jedes VLAN fungieren um hier im Webinterface die Packetfilter regeln festlegen zu können. Die Firewall soll einfach per Gigabit an den Switch angesteckt werden, und der Switchport wird als trunk für die jeweiligen VLANs konfiguriert. Soweit sogut. Meine Problem bzw. meine Frage die ich habe. Wenn man also Datentransfer von einem VLAN in das andere hat müsste es durch die Firewall gehen, was natürlich den Datendurchsatz BRUTAL verschlechtert. Mein Kollege meinte im vorbeigehen nur "dafür gibts Routinprotokolle wie RIP". Habe bisher mit Routingprotokollen in diesem Zusammenhang noch nichts gemacht, deshalb weiß ich hier nicht weiter. Ist es wirklich so, dass ein Routingprotokoll wie RIP z.b. nur den ersten Verbindungsaufbau über die Firewall regelt und den Rest dann direkt intern zum richtigen VLAN routen kann und somit der Datendurchsatz natürlich erheblich größer ist? Vielen Dank! Zitieren
lordy Geschrieben 25. Februar 2008 Geschrieben 25. Februar 2008 Dein Kollege hat keine Ahnung Wo sollen denn Daten sonst übergeben werden, wenn nicht am einzigen Schnittpunkt von zwei VLANs, der Firewall ?! Zitieren
dgr243 Geschrieben 26. Februar 2008 Geschrieben 26. Februar 2008 Übergang vopn VLAN zu VLAN ist Layer 3 Du könntest (so du denn nen Multilayer Switch hast) natürlich das Gateway auf den Switch legen. Dann brauchst du aber keine Firewall mehr, weil ja nichts mehr durch die FW gerouted wird. Kurz gesagt: Du müsstest dich entscheiden was du vorhast Zitieren
Crash2001 Geschrieben 26. Februar 2008 Geschrieben 26. Februar 2008 Wieso sollte ein Routingprotokoll den Verbindungsaufbau über die Firewall machen, wenn es doch beide Netze kennt? :confused: Über die Firewall sollte nur das gehen, was auch untersucht werden soll - also normalerweise der Verkehr von und nach draußen. Für den internen Gebrauch sollten normalerweise Access Listen ausreichen, die nicht so aufwendig wie Stateful Inspection Firewalls sind. Überleg mal. Du hast auf dem Switch eine maximale Datendurchsatzrate, die ein vielfaches der Datendurchsatzrateeines einzelnen Ports, und ebenso der Firewall, entspricht. Gut, ich weiss nicht, wie viel Traffic vom einen ins andere vlan so geht, aber da ja ein GigabitEthernet-Switch verwendet wird, ist das, denke ich mal einfach, nicht grad wenig. Evtl kommt Policy based Routing in Betracht. Zitieren
parityman Geschrieben 26. Februar 2008 Autor Geschrieben 26. Februar 2008 vom prinzip kein problem, dass der Switch auch Gateway der VLANs ist, jedoch ist halt die Firewall zusätzlich noch http proxy und zuständig für den verbindungsaufbau zu den außenstandorten über IPSec wenn ich die FW in ein eigenes VLAN stecke, dann muss ich von den Außenstandorten wenn die in eines der VLANs wollen durch den Tunnel durch das VLAN zum Layer3-Switch. Wenns die Firewall der Gateway wäre, müsste ich mich nicht mit den diversten Routen rumschlagen. Zitieren
Vork Geschrieben 26. Februar 2008 Geschrieben 26. Februar 2008 Da hast du doch deine Lösung: eigenes Vlan für die FW --> höheren Datendurchsatz zwischen den VLans an einem Standort (deine fw ist immernoch GW für die Aussenstellen) --> evtl. umfangreichere Routingtabellen wenn du das nicht willst musst du eben mit einbußen am jeweiligen standort rechnen.. ( ich hoff ich hab das ganze hier jetzt richtig verstanden :-P ) lg Zitieren
parityman Geschrieben 27. Februar 2008 Autor Geschrieben 27. Februar 2008 durch einen ipsec tunnel kann man doch garnicht routen oder? d.h. ich müsste auf der firewall für jedes vlan einen eigenen gw einrichten die dann über einen trunkport am switch hängen um so die pakete in die vlans verteilen zu können. das problem ist nur, wenn es mehr vlans werden und ich für jedes vlan einen eigenen tunnel zu jedem standort brauche, bei 15 vlans und 6 standorten wären das 90 aktvie ipsec tunnel - da bleibt vor overhead kein platz mehr für daten in der leitung Zitieren
Crash2001 Geschrieben 27. Februar 2008 Geschrieben 27. Februar 2008 durch einen ipsec tunnel kann man doch garnicht routen oder?[...]Wieso sollte man das nicht machen können? :confused: IP-Adressen werden ja dennoch benutzt. Nur wird normal nicht als next hop dann die IP eines Routers angegeben, sondern das Tunnelinterface, über das die Pakete dann rausgehen sollen wird angegeben. Beim routing kann man ja auch statt mit next hops zu arbeiten einfach sagen "über das Interface muss es raus gehen, damit das gesuchte Netz erreicht wird". Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.