Frage bezüglich portbasierendem VLAN

[Summerdreamx]

Hallo,

Ich bin FISI im ersten Ausbildungsjahr und habe von meinem Chef die Aufgabe bekommen ein Kleines Projekt zu realisieren.

In diesem soll unsere Werkbank mit Hilfe von VLAN vom Rest unseres Firmennetzwerkes getrennt werden.

Zur Verfügung steht mit ein TP-Link TL-SG2109WEB, was bedeutet das es wohl auf ein Portbasierendes VLan hinausläuft.

Ich hab mich nun schon bei einigen Seiten im Internet belesen, aber habe wohl immernoch eins, zwei Sachen, wo ich einfach nicht weiterkomme.

Hier erstmal meine Idee wie ich mir das ganze gedacht hatte:

Wie man sieht geht es darum, dass alle Rechner (auch Werkbank / VLAN 2) ins Internet können müssen sowie alle Rechner auf den FileServer zugreifen müssen.

Jedoch soll aus Gründen der Sicherheit (Virenbefallene PC´s etc.) die Werkbank nicht auf unser Firmennetzwerk (VLAN 1) zugreifen können.

Jetzt ist die Frage ist dies überhaupt so realisierbar?

Bzw. woher bekommen die Rechner im VLAN 2 dann ihre IP, da unser Server ja im VLAN 1 wäre.

Komme echt nicht weiter, und da Chef zur Zeit Schulung macht bleibt keine Zeit, dass er mir dabei helfen könnte.

Wäre für Anregung und Tipp´s echt dankbar

LG Summer

[truebsalgeblaese]

Hallo Summerdreamx,

ohne den Switch jetzt genau zu kennen - ist zum Grossteil ist das so realisierbar - nur bei der Anbindung Fileserver musst Du ggf. aufpassen.

IP-Adressen kann auch die Astaro-Firewall vergeben, die hat einen eigenen DHCP-Server.

Tsg

[Crash2001]

Soll das links von der Firewall ein Router sein? Falls ja, ist es ein Router, der 3 einstellbare Interface hat, oder nur einer mit 1 Seite WAN und 1 Seite Switch für intern?

Sollte der Router nur einen Switch auf der LAN-seite haben (wie dies bei Consumergeräten eigentlich Standard ist), dann können die User von der Werkbank doch wieder die anderen User erreichen (dort ist es ja nicht mehr in vlans unterteilt, sondern nur intern im Switch - ansonsten müsstest du mit einem Trunk-Port zur Firewall und dann Router gehen). Das kann man dann antürlich auf der Astaro-Firewall verhindern... Das Problem dabei ist dann aber, dass sie alle im Netz des Routers liegen müssen (internes Interface), da sie es ja als Gateway nutzen und somit auch erreichen können müssen. Alternativ kann die Astaro-Firewall evtl Router spielen.

Eigentlich wird ein L3-Switch, oder ein Router eingesetzt als Default Gateway, und der die beiden Netze dann verbindet, falls gewünscht. Auf dem L3-Gerät können dann entsprechende Filterlisten definiert werden, dass z.B. vlan 2 nicht mit vlan 3 kommunizieren können darf, dass aber beide vlans nach außen kommunizieren dürfen. Eventuell kann das alles ja deine Astaro-Firewall. Da ich sie nicht genau kenne, kann ich da jetzt leider nichts zu sagen. Dann wäre die doppelte Anbindung des Routers an die Firewall aber überflüssig.

Ich würde es so machen, dass ich mir einen kleinen Router nehmen würde, diesen hinter die Firewall packen und dort zwischen den 3 netzen routen. Dann entsprechend eine accesslist auf das Interface / die Interface (je nachdem, ob man es per trunk oder mit einer Leitung pro "vlan" macht, was auch davon abhängt, ob der router subinterface unterstützt oder nicht) legen, in der definiert ist, was erlaubt ist und was nicht.