VLAN Anleitung gesucht

[rakader]

Ich habe einen TP-Link SG2008 Managed Switch. Aus der englischen Anleitung zu einem VLAN und anderen Netzwerkbestandteilen werde ich aber nicht schlau. Wo gibt es eine gute Seite, die diese Funktionalitäten von Grund auf erklärt und nicht zu viel Fachwissen voraussetzt? Wikipedia hat mir hier auch nicht weitergeholfen.

 

[Wuchtbrumme]

jede Literatur zum OSI-Schichtenmodell und die Standards (IEEE802.3Q) sollten reichen - das ist technisch, betrifft Technik und wird deshalb Technik voraussetzen.
Bitte verstehe wenigstens die Abstraktionsidee hinter OSI. Einfach formuliert kannst Du Dir dann VLAN als eine weitere Abstraktion von der physischen Verbindung denken. Dein konkretes Kabel wird dann die VLAN-ID, wobei die getaggt oder portseitig sein kann.

 

[rakader]

Danke dafür. Den Sprung vom OSI zum VLAN musste ich noch hinbekommen. Dein Hinweis IEEE802 hilft mir weiter... Ein mächtiges Feld.

 

[hosja]

Die Technik ermöglich es dir getrennte Netzwerke in einem Gerät zu haben. Für den Heimbereich ist das meistens eher nicht so interessant, aber für Firmen mit unterschiedliche Nutzergruppen unter Umständen eine großere Arbeitserleichterung.

Ich finde die Wikipedia gar nicht schlecht: https://de.wikipedia.org/wiki/Virtual_Local_Area_Network

 

[rakader]

Danke. Ich habe hier 3-4 unterschiedliche Nutzergruppen, eine davon sicherheitsrelevant. Deswegen interessiert mich das. Wie umsetzen, das ist halt die Frage. Kurzum suche ich nach einem Best Practice Sheet, das mir eine praktikable Umsetzung an die Hand gibt. Man möchte ja nicht mit Kanonen auf Spatzen schießen. Der Wikipedia-Artikel geht darauf nicht ein.

Meine 3-4 Umgebungen hier sind Server und Assets, Arbeitsplätze, Privat (WiFi) und Gäste. Idee war vor allem, die Sicherheit der Server zu erhöhen.

Edit: Ich korrigiere mich - beim Wikipedia-Artikel finden sich die von mir gesuchten Anleitungen - in den Fußnoten

Damit komme ich klar. File closed.

 

[Wuchtbrumme]

na dann, einfach los. Problematisch sind Geräte, die kein VLAN-Tagging können, wenn Du ein Managementnetz benötigst, aber solange man physische Kontrolle über die Ports hat, geht das. Allerdings musst Du daran denken, dass Du routen musst und evtl. auch DHCP-Broadcasthelper und Zonen anlegen musst. Ich vermute also, dass Du von einem ins andere kommst - die Komplexität nimmt zu. Ob das dann die Sicherheit (und Zuverlässigkeit) erhöht mag ich eher stark bezweifeln, aber es macht schon Spass. Lass es mich so formulieren: Wenn ein Ausfall Deinen Job oder Deine wirtschaftliche Zukunft in Frage stellt, dann lass es, spiele eher auf der grünen Wiese! Wenn es nur nice-to-have und ungefährlich ist, dann nimm den Lernerfolg auf jeden Fall mit!

 

[rakader]

puuh - Tagging ist mit dem SG2008 möglich. Ist wohl ein Einsteigermodell, bringt aber alles mit. Du bringst es auf den Punkt: Neugierde ist die Motivation, ein Hackerangriff auf ein Projekt, von dem ich annehme, dass das gezielt war, hat mich aber zur Überlegung veranlasst (ein BBedit-Forum ging dabei über den Jordan). Diese Daten möchte ich trennen, ohne dass ich einen ganzen Server vom Netz nehmen muss. Es ist also etwas mehr als Spielerei. Hier stehen einige gute Geräte herum, die nicht ausreichend genutzt werden. Lernerfolg trifft es ganz gut.

Danke Dir allenthalben für Deine wirklich immer hilfreichen Beiträge!

Grüße
Radulph

 

[Wuchtbrumme]

agging ist mit dem SG2008 möglich.

das bezweifle ich gar nicht, gemeint war aber, dass die Endgeräte für Management (also da, wo man unter anderem VLAN möchte) kein Tagging können. Das heißt, man muss einen Port komplett auf eine VLAN-ID konfigurieren. Steckt man jetzt ein Gerät an diesen Port, hat man automatisch Managementzugang. Gold access sozusagen. Das meinte ich übrigens unter anderem mit "steile Lernkurve". War doch völlig unmissverständlich formuliert!

ein Hackerangriff auf ein Projekt, von dem ich annehme, dass das gezielt war, hat mich aber zur Überlegung veranlasst (ein BBedit-Forum ging dabei über den Jordan). Diese Daten möchte ich trennen

lass es mich so formulieren: Struktur und Teilung ist ein guter Weg, Sicherheit anzufangen, zu implementieren. Aber es garantiert nicht irgendeine Art von Sicherheit. Wenn man nicht weiß, was man tut, macht man eher mehr kaputt. Deswegen noch mal ganz klar: Wenn da wirtschaftliche Aspekte eine Rolle spielen, kauf Dir die Dienstleistung ein und fang parallel an, Dir durch Spielen auf der grünen Wiese, also ohne Produktivsystemkontakt, Wissen aufzubauen.
Ganz nebenbei: Aus einem VLAN auszubrechen ist je nach Gerät nicht richtig schwer. Ich persönlich würde das nicht so angehen, wie das bis jetzt in Deinen artikulierten Sätzen oben anklingt. Zu wirklicher Sicherheit gehört deutlich mehr.

 

[rakader]

OK - mit "Gold access" ist es angekommen. Da die Daten wirtschaftlich relevant sind, kauf ich mir die Leistung ein. Du hast mir gerade die Argumente dafür an die Hand gegeben. Eine "Lernkurve" ist mir da zu heiß. Spielwiese kann ich danach immer.

 

[tjp]

Das Problem sind bei einem solchen Setup gar nicht mal die VLANs, sondern die notwendigen Firewalls, um das interne Netz von der DMZ und die DMZ vom Internet abzutrennen.