8
Sinnvoller Einsatz von Routing über Layer 3 Switches?
Hallo zusammen,
wir haben hier in unserem SMB-Umfeld Cisco SG350x Switche und Opnsense Firewalls. Unsere Rechner stecken in verschiedenen Subnetzen (Administration, Produktiv-Server, Haustechnik, Conusmer-Krimskrams, WLAN, Gast-WLAN). Das Routing über die Switches zu leiten, wäre für die Performance das schnellste. Dort gibt es aber von ACLs abgesehen, keine Firewall-Funktionen. Die kann man schön auf der Opnsense einstellen, das ist aber langsamer. Jedesmal wenn ich anfange über mögliche Verbesserungen von Sicherheit und Performance nachzudenken, stellt man dann fest, dass das eine natürlich das andere stört (ist ja nicht neu).
Deshalb, unabhängig von meiner konkreten Konfiguration - gibt es Klassiker, bei denen man das Routing typischerweise auf dem Switch durchführen lässt und über die ACLs begrenzt?
Ich hätte am liebsten ein paar Anwendungsbeispiele um für mein Netzwerk besser planen zu können.
Grüße
lcer
Edit: siehe Beitrag von Brammer
wir haben hier in unserem SMB-Umfeld Cisco SG350x Switche und Opnsense Firewalls. Unsere Rechner stecken in verschiedenen Subnetzen (Administration, Produktiv-Server, Haustechnik, Conusmer-Krimskrams, WLAN, Gast-WLAN). Das Routing über die Switches zu leiten, wäre für die Performance das schnellste. Dort gibt es aber von ACLs abgesehen, keine Firewall-Funktionen. Die kann man schön auf der Opnsense einstellen, das ist aber langsamer. Jedesmal wenn ich anfange über mögliche Verbesserungen von Sicherheit und Performance nachzudenken, stellt man dann fest, dass das eine natürlich das andere stört (ist ja nicht neu).
Deshalb, unabhängig von meiner konkreten Konfiguration - gibt es Klassiker, bei denen man das Routing typischerweise auf dem Switch durchführen lässt und über die ACLs begrenzt?
Ich hätte am liebsten ein paar Anwendungsbeispiele um für mein Netzwerk besser planen zu können.
Grüße
lcer
Edit: siehe Beitrag von Brammer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 616900
Url: https://administrator.de/contentid/616900
Printed on: April 19, 2024 at 13:04 o'clock
8 Comments
Latest comment
Hallo,
Routing über ACL?
Ein Neues Prinzip ?
Routing macht man über Routing Protokolle.
daher Layer 3 Switche...
Routing würde ich auf den Switch verlagern, wenn es Netzwerk Verkehr gibt der gar nicht bis zur Firewall kommt ...
brammer
bei denen man das Routing typischerweise am besten über ACLs auf dem Switch löst?
Routing über ACL?
Ein Neues Prinzip ?
Routing macht man über Routing Protokolle.
daher Layer 3 Switche...
Routing würde ich auf den Switch verlagern, wenn es Netzwerk Verkehr gibt der gar nicht bis zur Firewall kommt ...
brammer
Moin,
allgemein ausgedrückt:
Routing am Switch immer dann, wenn Wirespeed benötigt wird
Routing auf der FW immer dann wenn granulare Filter/Regeln benötigt werden.
Willst Du beides, wird es teuer :D
lg,
Slainte
allgemein ausgedrückt:
Routing am Switch immer dann, wenn Wirespeed benötigt wird
Routing auf der FW immer dann wenn granulare Filter/Regeln benötigt werden.
Willst Du beides, wird es teuer :D
lg,
Slainte
Hallo,
bei denen man das Routing typischerweise auf dem Switch durchführen lässt und über die ACLs begrenzt?
Grüße
lcer
Zitat von @brammer:
Hallo,
Unglücklich ausgedrückt, gemeint istHallo,
bei denen man das Routing typischerweise am besten über ACLs auf dem Switch löst?
bei denen man das Routing typischerweise auf dem Switch durchführen lässt und über die ACLs begrenzt?
Routing über ACL?
Ein Neues Prinzip ?
Routing macht man über Routing Protokolle.
daher Layer 3 Switche...
achso ....Ein Neues Prinzip ?
Routing macht man über Routing Protokolle.
daher Layer 3 Switche...
Routing würde ich auf den Switch verlagern, wenn es Netzwerk Verkehr gibt der gar nicht bis zur Firewall kommt ...
schon klar, aber wann ist das den beispielsweise der Fall? Klar, wenn ich das Netzwerk nach außen mit der Firewall absichere und innen alles ohne Sinn und verstand durchroute .... Aber das ist nicht der Plan.Grüße
lcer
Hallo,
Bei Testnetzwerken, bei Druckern oder bei NAS Systemen stellt sich schon die Frage ob diese mit dem Internet Kontakt haben müssen.
Wenn dieser Traffic garnicht erst bei der Firewall ankommt brauchst du dir keine Sorgen machen ob da was schief gehen kann.
Oder Transfernetze....
brammer
schon klar, aber wann ist das den beispielsweise der Fall?
Bei Testnetzwerken, bei Druckern oder bei NAS Systemen stellt sich schon die Frage ob diese mit dem Internet Kontakt haben müssen.
Wenn dieser Traffic garnicht erst bei der Firewall ankommt brauchst du dir keine Sorgen machen ob da was schief gehen kann.
Oder Transfernetze....
brammer
Ich hätte am liebsten ein paar Anwendungsbeispiele um für mein Netzwerk besser planen zu können.
Einfach mal als Pauschale Aussage:
Wenn es auf Geschwindigkeit und Latenz ankommt -> Routing über Layer3 Switch mit ACL (ausgenommen siehe nächste Zeile)
Externes Netz und Gast-WLAN IMMER als Layer2 auf den Switchen und Routing über Firewall.
Du kannst natürlich auch alles über die FW routen, aber die muss ausreichend Performance haben, wenn du z.B. alles mit 10G bei dir nutzt.
Es nützt nichts, wenn die FW 1 Gbit hat und der Rest 10Gbit. Dann ist dein BottleNeck immer die FW.
Nicht zu verachten ist auch die Ausfallsicherheit. Entweder du benötigst 2 FW, welcher im HA Modus laufen oder du hasten einen LAyer3 Switch, welcher bestenfalls im FullStack Modus läuft.
Nun - ein typisches Beispiel wäre Live-Traffic. Stell dir z.B die Video-Ueberwachung vor - die es irgendwo (im selben VLAN) aufzeichnet und du nur vom Admin-VLAN zugriff hast. Klar kannst du das durch ne Firewall jagen, da würde aber selbst eine simple ACL reichen um das zu machen. Speziell wenn der Recorder irgendwo in nem anderem VLAN hängen wirst du feststellen das die Firewall dir genug Probleme macht wenn du da versuchst 20, 50 oder mehr Streams gleichzeitig durchzujagen (und das für keinen wirklichen Vorteil).
Von daher ist ein Mischbetrieb nix ungewöhnliches - du hast VLANs die durch ne Firewall laufen und du hast VLANs die eben direkt aufm Switch geroutet werden.
Von daher ist ein Mischbetrieb nix ungewöhnliches - du hast VLANs die durch ne Firewall laufen und du hast VLANs die eben direkt aufm Switch geroutet werden.
Hallo,
Also sollte man zuerst die Zugriffsregeln planen und dann zuordnen, ob die mittels ACL am Switch oder auf der Firewall umgesetzt werden sollen. Das ist dann wohl wieder so ein IT-Fall für Stift und Bleistift bevor man ans konfigurieren geht.
Grüße
lcer
PS:
Also sollte man zuerst die Zugriffsregeln planen und dann zuordnen, ob die mittels ACL am Switch oder auf der Firewall umgesetzt werden sollen. Das ist dann wohl wieder so ein IT-Fall für Stift und Bleistift bevor man ans konfigurieren geht.
Grüße
lcer
PS:
Also sollte man zuerst die Zugriffsregeln planen und erst dann zuordnen, ob die mittels ACL am Switch oder auf der Firewall umgesetzt werden sollen.
Wenn man das liest, ist das schon fast zu logisch ...
Hallo,
ein generelle "Best Practices" Aussage wirst du nicht bekommen können.
An dem Beispiel von @maretz festgemacht:
Eine Videoüberwachung die nur auf ein Server läuft um bei Bedarf ausgelesen zu werden braucht nicht über die Firewall zu laufen.
Soll die Videoaufzeichnung aber live auf ein Smartphone gestreamt werden (z.b. im Falle eines Einbruch) sollte der selbe Traffic über die Firewall gehen.
Das ist immer vom Anwendungsfall abhängig. Was bei dir Vielleicht üblich ist, mag in einm anderen Netz ein Absolutes No Go sein.
brammer
ein generelle "Best Practices" Aussage wirst du nicht bekommen können.
An dem Beispiel von @maretz festgemacht:
Eine Videoüberwachung die nur auf ein Server läuft um bei Bedarf ausgelesen zu werden braucht nicht über die Firewall zu laufen.
Soll die Videoaufzeichnung aber live auf ein Smartphone gestreamt werden (z.b. im Falle eines Einbruch) sollte der selbe Traffic über die Firewall gehen.
Das ist immer vom Anwendungsfall abhängig. Was bei dir Vielleicht üblich ist, mag in einm anderen Netz ein Absolutes No Go sein.
brammer
