Anonyme Ente Geschrieben 26. Juni 2022 Geschrieben 26. Juni 2022 Servus, ich habe eine Frage. Und zwar, ist es vorteilhaft für jede DMZ (z.B. /30 Subnetze) ein eigenes Vlan zu errichten, oder macht das mehr oder weniger keinen Unterschied einfach nur ein Vlan "DMZ" einzurichten und darüber alle DMZ Subnetze laufen zu lassen? Gibt es dadurch einen massiven Security boost oder ist das eher über ambitioniert? LG
Maniska Geschrieben 27. Juni 2022 Geschrieben 27. Juni 2022 Ähm, wie willst du Subnetze ohne zugehörige VLANs einrichten?
charmanta Geschrieben 27. Juni 2022 Geschrieben 27. Juni 2022 und wieviele DMZ brauchst Du denn dass Du auf sowas kommst ???
Anonyme Ente Geschrieben 27. Juni 2022 Autor Geschrieben 27. Juni 2022 vor 9 Stunden schrieb Maniska: Ähm, wie willst du Subnetze ohne zugehörige VLANs einrichten? Soweit ich verstanden habe könnte ein Vlan mehrerer Subnetze beherbergen? Oder bin ich auf einen ganz falschen Dampfer?
Gast Interrupt Geschrieben 27. Juni 2022 Geschrieben 27. Juni 2022 (bearbeitet) vor einer Stunde schrieb Anonyme Ente: Soweit ich verstanden habe könnte ein Vlan mehrerer Subnetze beherbergen? Ja und Nein. Innerhalb einer Broadcast Domäne könntest du natürlich verschiedene Subnetze haben aber das macht in der Praxis kaum Sinn. Ein Vlan soll ja schließlich den Zugriff zwischen den verschiedenen Subnetzen isolieren. Angenommen du hast folgende Netze: 192.168.178.0 /24 (Mitarbeiter) 172.30.0.0 /24 (Geschäftsführung) Ohne Vlan könnte nun ein Mitarbeiter auf den Gedanken kommen, einfach bei seinem Rechner die IP-Adresse auf eine IP-Adresse im Netz der Geschäftsführung zu ändern und könnte dann mit den Systemen von der Geschäftsführung kommunizieren (vorausgesetzt natürlich die hängen am selben Switch ohne Router / Firewall dazwischen). Das ist natürlich unschön und möchte man verhindern. Mit Vlans werden separate Broadcast Domänen erzeugt, womit man die einzelnen Subnetze voneinander isolieren kann. Bearbeitet 27. Juni 2022 von Interrupt
Crash2001 Geschrieben 4. Juli 2022 Geschrieben 4. Juli 2022 Am 27.6.2022 um 18:57 schrieb Interrupt: [...]Ohne Vlan könnte nun ein Mitarbeiter auf den Gedanken kommen, einfach bei seinem Rechner die IP-Adresse auf eine IP-Adresse im Netz der Geschäftsführung zu ändern und könnte dann mit den Systemen von der Geschäftsführung kommunizieren[...] Bei /30er Netzen zwar nur schwer möglich, aber es macht auch keinen Sinn, mehrere Netze in ein vlan zu packen. Das bringt nur Probleme mit sich und lässt es unübersichtlich wirken. Wobei ich mich frage, ob das alles so Mini Netze (quasi nur 1 Server) sind, oder ob das nur ein Beispiel war. Standard nimmt man pro Netz ein vlan und lässt es dann entweder auf einem L3-Switch / Router oder auf einer Firewall terminieren - je nach Konzept. Es gibt zonenbasierte Konzepte, es gibt auf IP Adresse basierte und es gibt interface basierte Konzepte., sowie Mischkonzepte für Firewalls. So könnte z.B. alles innerhalb einer Zone auf dem Switch geroutet werden, da auf der Firewall jeglicher Traffic zwischen ihnen erlaubt ist.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden