Jaraz Geschrieben 5. Mai 2004 Teilen Geschrieben 5. Mai 2004 Hallo, ich möchte einen Server für sagen wir 15 in sich abgeschlossene Netze zur Verfügung stellen. Bürogebäude mit 15 Gesellschaften. Der Server bietet nur https Zugiff. Wenn Netz 1 einen eigenen Internetzugang hat und gehackt wird, dürfen Netz 2-15 auf keinen Fall angreifbar sein. Die Daten auf dem Server sind auch so sensitiv das ich den Server nicht direkt ins Internet stellen kann und jeder so zugreift. Was kann man da machen, was brauche ich für Hardware. Ich habe mir gedacht ich mache zwischen jedem Netz und dem Server eine VPN Verbindung. Nur gibt es VPN fähige Router mit 16 Ports besser noch 32 Ports? Oder kann ich einen Switch so einstellen, das jeder Ports nur mit dem Server kommunizieren kann? Gruß Jaraz Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
nic_power Geschrieben 6. Mai 2004 Teilen Geschrieben 6. Mai 2004 Hallo, soll zwischen den Netzen ein Datenaustausch statt finden (Routing) oder soll ausschliesslich ein Zugriff über/auf den Server erfolgen? Wie soll der Zugang zum Internet erfolgen, soll von allen Netzen sowohl aufs Internet als auch auf den Server zugegriffen werden (und wie sieht der Zugang aus, über einen gemeinsamen Router oder jeweils separat realisiert)? Ich würde den Server in ein einzelnes Subnetz stellen und einen VLAN-Fähigen Switch verwenden. Für jedes Netz verwendeste Du ein VLAN, zwischen den VLANs wird nicht geroutet. Vor den Server ggf. noch eine Firewall stellen und den Internetzugang (sofern notwendig) über einen zusätzlichen, separaten Router realisieren. Nic Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Jaraz Geschrieben 6. Mai 2004 Autor Teilen Geschrieben 6. Mai 2004 soll zwischen den Netzen ein Datenaustausch statt finden (Routing) oder soll ausschliesslich ein Zugriff über/auf den Server erfolgen? Kein Routing, ausschließlich auf den Server Wie soll der Zugang zum Internet erfolgen, soll von allen Netzen sowohl aufs Internet als auch auf den Server zugegriffen werden (und wie sieht der Zugang aus, über einen gemeinsamen Router oder jeweils separat realisiert)? Internet ist nicht meine Sache, dafür sind die einzelnen Admins zuständig. Der Server soll ein gesellschaftsübergreifendes Intranet darstellen. Ich würde den Server in ein einzelnes Subnetz stellen und einen VLAN-Fähigen Switch verwenden. Für jedes Netz verwendeste Du ein VLAN, zwischen den VLANs wird nicht geroutet. Vor den Server ggf. noch eine Firewall stellen Hört sich gut an, hättest du einen Produktvorschlag für den Switch? Gruß Jaraz Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Jaraz Geschrieben 6. Mai 2004 Autor Teilen Geschrieben 6. Mai 2004 Ich hab noch ne Frage, wenn ich zwischen den vlans nicht route, wie kommen die dann an den Server? Jedes Netz muss also mindestens eine Route zum Server Subnetz haben, kann sowas ein vlan fähiger Switch. Gruß Jaraz Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
nic_power Geschrieben 6. Mai 2004 Teilen Geschrieben 6. Mai 2004 Hallo, Du solltest nicht von VLAN1 nach VLAN2 routen sondern nur die Route in das Netz des Servers von den VLANs aus zulassen. D.h. der Switch bzw. die Firewall darf nur Pakete passieren lassen, die aus dem entsprechenden VLAN kommen und als Zieladresse den Server haben (im Prinzip kannst Du auch noch auf den SSL Port des Servers filtern). Eine konkrete Produktvorschlag kann ich Dir nicht geben, ich habe mit den Cisco Catalyst gute Erfahrungen gemacht, es gibt aber sicherlich auch noch andere Herstelle, die ein entsprechendes Feature-Set bieten. Nic Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
rote_gefahr Geschrieben 7. Mai 2004 Teilen Geschrieben 7. Mai 2004 es gibt VLAN Switches die eine engebaute Routing Funktion haben, ich glaube das nennt sich irgendwas mit forwarding...bin mir aber jetzt nicht 100 %ig sicher, denn geroutet werden muss ja auf jeden fall damit die PCs aus den einzelnen Netzen auf das Servernetz kommen ! Sonst würde es nur über normale Router gehen, was aber wohl ein höherer Aufwand werden dürfte bei 15 Client Netze plus das Servernetz. Im großen und ganzen ist der Lösungsvorschlag von nic_power perfekt :marine MfG Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dgr243 Geschrieben 7. Mai 2004 Teilen Geschrieben 7. Mai 2004 Thema VLAN: Vlan fähigen Switch mit der benötigten Anzahl Ports nehmen (z.B. Cisco catalyst) 16 Vlans (für jede Gesellschaft ein VLAN) erstellen jede Gesellschaft an einen Port hängen und das VLAN der entsprechenden Gesellschaft dem Port der Gesellschaft zuordnen (Cisco: vlan membership Gesellschaft1...) Den Port vom server in alle VLANs einsortieren. Allerdings muss die Netzwerkkarte des Servers Vlan Tagging (IMHO IEEE802.3q [oder wars doch 802.3p??]) beherrschen! Dann kannste alles in einem IP Netz laufen lassen und die Gesellschaften sehen sich untereinander nicht. Internetzugang: Hmm für jede Gesellschaft nen eigenen Router (da die VLANs sich nicht untereinander sehen kein problem...) ? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
nic_power Geschrieben 7. Mai 2004 Teilen Geschrieben 7. Mai 2004 Hallo, Allerdings muss die Netzwerkkarte des Servers Vlan Tagging (IMHO IEEE802.3q [oder wars doch 802.3p??]) beherrschen! Tagging wird üblicherweise nach 802.1q verwendet. Nic Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dgr243 Geschrieben 7. Mai 2004 Teilen Geschrieben 7. Mai 2004 Ich war mir net mehr ganz sicher ob q oder p, aber danke für die Info! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.