Tom: INTERNET-HARDWARE: Managed Switch

Hello,

ich muss das Büro neu organisieren. Es muss festgelegt werden können, welcher Port auf welchen verbinden darf. Ist sowas mit einem managed Switch möglich?

Beispiel:

  • Port A darf nur mit dem Port für den Intenetrouter verbunden werden...
  • Port B und C dürfen auch das NAS ansprechen (alle anderen dürfen es gar nicht sehen)
  • Port C darf mit A, B, D Daten austauschen

Ist dieser heir ggf. dafür geeignet?
http://www.computeruniverse.net/products/90267371/d2/Technische-Daten/3com-switch-4210-9-port.asp#InfoDataHeader

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg

--
 ☻_
/▌
/ \ Nur selber lernen macht schlau
http://bergpost.annerschbarrich.de
  1. Hello,

    ich muss das Büro neu organisieren. Es muss festgelegt werden können, welcher Port auf welchen verbinden darf. Ist sowas mit einem managed Switch möglich?

    Wenn der Switch Layer 3 kann, ja. Ein Switch ist normalerweise im Layer 2 und kennt nur MAC-Adressen, auch wenn er per IP ge-managed werden kann.

    Beispiel:

    • Port A darf nur mit dem Port für den Intenetrouter verbunden werden...
    • Port B und C dürfen auch das NAS ansprechen (alle anderen dürfen es gar nicht sehen)
    • Port C darf mit A, B, D Daten austauschen

    Wie gesagt, Layer-3-Switch und entsprechende Access-Control-Lists.

    Ist dieser heir ggf. dafür geeignet?
    http://www.computeruniverse.net/products/90267371/d2/Technische-Daten/3com-switch-4210-9-port.asp#InfoDataHeader

    Routen kann er, also kann er auch Layer 3. Ob er ACLs kann, nachfragen.

    Viele Grüße,
    Oppenheimer

    1. hi,

      Routen kann er, also kann er auch Layer 3. Ob er ACLs kann, nachfragen.

      Nochmal nachgelesen..., wenn der QoS kann, sollten auch ACLs möglich sein. Quality of Service, z.B. für Voice over IP wird über ACLs gemacht (Port-Priorisierung). Aber frage da sicherheitshalber mal nach, ob es möglich ist, auch eigene ACLs zu schreiben.

      Hotti

    2. Hello,

      Wie gesagt, Layer-3-Switch und entsprechende Access-Control-Lists.

      Da steht leider nur "Layer 2 switching"

      Aber dann habe ich ja wenigstens schon mal ein Stichwort. Es wäre ja auch zu schön, wenn ein Teil für 159,- Euronen das könnte und nur ca. 9-15W aufnehmen würde. Zurzeit mache ich das noch mit einem Linux-Host, der aber leider 70Watt verschlingt.

      Ist dieser heir ggf. dafür geeignet?
      http://www.computeruniverse.net/products/90267371/d2/Technische-Daten/3com-switch-4210-9-port.asp#InfoDataHeader

      Routen kann er, also kann er auch Layer 3. Ob er ACLs kann, nachfragen.

      Liebe Grüße aus dem schönen Oberharz

      Tom vom Berg

      --
       ☻_
      /▌
      / \ Nur selber lernen macht schlau
      http://bergpost.annerschbarrich.de
      1. hi,

        Da steht leider nur "Layer 2 switching"

        Ein Switch ist immer im Layer 2. Es gibt jedoch auch Switche, die Layer 3 (IP, Routing) können, die heißen "Layer-3-Switch". QoS ist auf jeden Fall im Layer 3, also IP:Port und benötigt ACLs.

        Hotti

        1. Hello,

          Da steht leider nur "Layer 2 switching"

          Ein Switch ist immer im Layer 2. Es gibt jedoch auch Switche, die Layer 3 (IP, Routing) können, die heißen "Layer-3-Switch". QoS ist auf jeden Fall im Layer 3, also IP:Port und benötigt ACLs.

          Tja, wäre schon gut zu wissen, ob so ein Teil meine Anforderungen erfüllt, bevor ich mir hier 160 Euronen aus den Rippen schneide. Also Schnee haben wir genug, aber das Portefeuille(s) ist immer noch leer... Nur der Münzsack hat sich ein wenig gefüllt. Und *huhu* vorher denke ich noch an Frank *wink*.

          Liebe Grüße aus dem schönen Oberharz

          Tom vom Berg

          --
           ☻_
          /▌
          / \ Nur selber lernen macht schlau
          http://bergpost.annerschbarrich.de
          1. hi,

            ... Nur der Münzsack hat sich ein wenig gefüllt.

            Wie, hat er zugenommen?

            Und *huhu* vorher denke ich noch an Frank *wink*.

            Wer ist Frank? Bitte Stichwort...

            Liebe Grüße aus dem schönen Oberharz

            Da gehört der Schnee auch hin, nicht jedoch auf mein Brennholz ;-)

            Wg. dem Switch: Frage nach, ob da eigene (extended) ACLs und auch VLANs möglich sind. Mit einem Layer-3-Switch von CIS*O (nicht bilig!) kannst Du Dein Vorhaben auf jeden Fall realisieren, VLANs für die Benutzergruppen, Access Control Lists und Routing zwischen den VLANs; Alles in einem Gerät.

            Gerne würde ich Dir das einrichten, aber Du bist soo weit wech und das Scheis-Wetter macht mich noch fertig. Meine Frau und ich führen hier so eine Art Einsiedlerleben, das (alte) Haus ist noch eine Baustelle und vieles Zeugs ist noch in der alten Wohnung (120 km). Im Sommer wäre das alles ein bischen einfacher....

            Hotti

  2. Moin Moin!

    Ist sowas mit einem managed Switch möglich?

    Die kann man austricksen.

    • Port A darf nur mit dem Port für den Intenetrouter verbunden werden...
    • Port B und C dürfen auch das NAS ansprechen (alle anderen dürfen es gar nicht sehen)
    • Port C darf mit A, B, D Daten austauschen

    Warum nur?

    Bau Dir verschiedene Netze auf, hänge einen oder mehrere Router dazwischen, definiere die Regeln wie oben pro Netzwerk.

    In meinem kleinen Netzwerk zuhause gibt es etwas vereinfacht drei Netze:

    192.168.2.0/24 ist das "sichere" Netzwerk, in dem die meisten Rechner ohne größeren Schutz stehen, ebenso ein Printserver samt Drucker und mein Server für alle Zwecke, außerdem zu meiner Schande auch der WLAN-AP.

    192.168.5.0/24 ist ein Mini-Netz bestehend aus exakt einem Kabel, in dem ich einen Server für einen Ex-Kollegen "hoste" und betreue.

    192.168.1.0/24 ist ein zweites ein-Kabel-Netz, in dem der DSL-Modem-Router steht, von dort geht es in die große weite Welt und wieder zurück.

    Ein kleiner Linux-Router hat in jedem der Netze ein Bein stehen.

    Zugriffsregeln:

    * Aus dem 5er-Netz darf man nur Verbindungen ins 1er-Netz und ins Internet aufbauen.
    * Aus dem 1er-Netz ist nur Port-Forwarding zu einigen Ports im 5er-Netz und im 1er-Netz erlaubt
    * Aus dem 2er-Netz dürfen Verbindungen ins 1er-Netz, ins 5er-Netz und ins Internet aufgebaut werden

    Damit kann mein Ex-Kollege nicht in mein "sicheres" Netz, ich kann aber seinen Server warten, ohne jedes mal in den Keller rennen zu müssen. Wir beide können von außen auf ausgewählte Services auf unseren jeweiligen Server zugreifen.

    Mein Ex-Kollege könnte leider immer noch den DSL-Router im 1er-Netz angreifen. Das wäre zwar extrem blöd von ihm, aber weil dem DSL-Router Out-of-Band Management fehlt, ist das nicht zu verhindern. Sollte er mal auf die wahnsinnige Idee kommen, das auszuprobieren, kann er sich am nächsten Tag seinen Rechner in Einzelteilen aus dem nächstgelegenen Entwässerungsgraben fischen. Und das weiß er. ;-)

    Der WLAN-AP muß noch aus dem 2er-Netz raus, der soll ein eigenes Netz bekommen, von dort aus sollen außer VPN-Tunneln überhaupt keine Verbindungen erlaubt sein.

    Und analog zum Server meines Kollegen soll auch noch ein eigener Server in ein weiteres, eigenes Netz kommen, der in Zukunft die meisten aus dem Internet erreichbaren Services hosten soll.

    Alexander

    --
    Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".
    1. hi,

      192.168.5.0/24 ist ein Mini-Netz bestehend aus exakt einem Kabel, in dem ich einen Server für einen Ex-Kollegen "hoste" und betreue.

      Nunja, ein Mini-Netz ist das nicht gerade mit 255 möglichen Hosts. Mit VLSM kriegst Du die Netze schöner hin ;)

      VLSM ermöglicht Netze mit 4, 8, 16, 32 usw. IPs wobei die Netz-IP und Broadcast-IP abzüglich ist. Z.B. wird ein Netz mit Maskenlänge /30 für Point-to-Point-Verbindungen gerne genommen, das passt genau mit 2 Host-IPs. Die Einschränkung auf möglichst kleine Netze ist keine Spielerei, es geht darum, den Broadcast zu verringern.

      Ein kleiner Linux-Router hat in jedem der Netze ein Bein stehen.

      Ein Layer-3-Switch, VLANs, und ein Trunkport für den Router on a Stick. Alles in einer Kiste. Der Trunkport ermöglicht das Routen zwischen den VLANs, ein Trunkport reicht in jedes VLAN. Die VLANs haben Nummern, entsprechend dieser bekommt der Router am Trunkport logische Interfaces und schon kann das Routen losgehen. ACLs noch drauf und fertig. Das braucht ein richtiges IOS (Internet Operating System) und die rictige Hardware (ASICs).

      Hotti

      1. Hi!

        192.168.5.0/24 ist ein Mini-Netz bestehend aus exakt einem Kabel, in dem ich einen Server für einen Ex-Kollegen "hoste" und betreue.

        Nunja, ein Mini-Netz ist das nicht gerade mit 255 möglichen Hosts.

        Och bitte! Wo nimmste denn die Zahl her?

        256
        ./. Broadcast (255)
        ./. Network   (0)
         =  ?

        Und: "mini" ist ein /24 allemal.

        Mit VLSM kriegst Du die Netze schöner hin ;)

        Den Rest kommentiere ich besser nicht mehr!

        off:PP

        --
        "You know that place between sleep and awake, the place where you can still remember dreaming?" (Tinkerbell)
        1. hi,

          Mit VLSM kriegst Du die Netze schöner hin ;)

          Den Rest kommentiere ich besser nicht mehr!

          Das ist auch besser so.

          Hotti

          1. Hi!

            Mit VLSM kriegst Du die Netze schöner hin ;)

            Den Rest kommentiere ich besser nicht mehr!

            Das ist auch besser so.

            Ja: Deine Kritikallergie ist im Forumsarchiv hinreichend dokumentiert!
            Ahnung vom Thema hast Du wie (fast) immer nicht, aber es hindert Dich nicht daran, 'klug' zu scheißen - das DejaVu-Thingy erspare ich Dir und vor allem: mir.

            Cheers.

            off:PP

            --
            "You know that place between sleep and awake, the place where you can still remember dreaming?" (Tinkerbell)
            1. Hi!

              Mit VLSM kriegst Du die Netze schöner hin ;)

              Den Rest kommentiere ich besser nicht mehr!

              Das ist auch besser so.

              Ja: Deine Kritikallergie ist im Forumsarchiv hinreichend dokumentiert!

              Ich sehe hier keine Kritik, die an mich gerichtet ist. Was ich hier jedoch feststelle, ist Deine Unwissenheit zum Thema VLSM und Netzwerkdesign.

              Ahnung vom Thema hast Du wie (fast) immer nicht, aber es hindert Dich nicht daran, 'klug' zu scheißen - das DejaVu-Thingy erspare ich Dir und vor allem: mir.

              Entzückend ;) Komm wieder, wenn Du von VLSM und Netzdesign was verstehst. Das war mein Handwerk der letzten 6 Jahre, damit habe ich mein Geld verdient.

              Hotti

              1. Hi!

                Entzückend ;) Komm wieder, wenn Du von VLSM und Netzdesign was verstehst.

                Wann ich widerkomme entscheide ich alleine. Du hast von Kommunikationsnetzen nicht den Hauch einer Ahnung - das hast Du heute mehrfach dokumentiert.

                Das war mein Handwerk der letzten 6 Jahre,

                Vielleicht solltest Du mal die Grundlagen "Deines Handwerkes" begreifen - Dein Gestammle zum Thema war hundserbärmlich.

                damit habe ich mein Geld verdient.

                Schade um jeden Cent Deiner Kunden. Ich hoffe, die lesen Deinen Rotz hier!

                off:PP

                --
                "You know that place between sleep and awake, the place where you can still remember dreaming?" (Tinkerbell)
      2. Moin Moin!

        hi,

        192.168.5.0/24 ist ein Mini-Netz bestehend aus exakt einem Kabel, in dem ich einen Server für einen Ex-Kollegen "hoste" und betreue.

        Nunja, ein Mini-Netz ist das nicht gerade mit 255 möglichen Hosts. Mit VLSM kriegst Du die Netze schöner hin ;)

        VLSM ermöglicht Netze mit 4, 8, 16, 32 usw. IPs wobei die Netz-IP und Broadcast-IP abzüglich ist. Z.B. wird ein Netz mit Maskenlänge /30 für Point-to-Point-Verbindungen gerne genommen, das passt genau mit 2 Host-IPs. Die Einschränkung auf möglichst kleine Netze ist keine Spielerei, es geht darum, den Broadcast zu verringern.

        Ich arbeite mit privaten IP-Adressen. Davon kann ich für deutlich unter 100 Maschinen so ungefähr 18 Millionen nutzen. Warum soll ich mir da die Mühe machen, von den zwar mittlerweile obsoleten, aber gerade bei den privaten IP-Adressen immer noch üblichen Klassen abzuweichen? Zumal die Geräte, insbesondere das DSL-Modem, im Fehlerfall bzw. beim Booten genau auf dieses Schema, nämlich 192.168.1.x mit /24er-Netmask (Class C) zurückfallen.

        Warum soll ich mir in einem "Netz" aus exakt zwei Geräten und einem Kabel sorgen um Broadcasts machen, wenn keines der beiden Geräte im Normalbetrieb exzessiv Broadcasts nutzt?

        Ein kleiner Linux-Router hat in jedem der Netze ein Bein stehen.

        [...] Das braucht ein richtiges IOS (Internet Operating System) und die rictige Hardware (ASICs).

        Völliger Overkill in meinem Netz. Die lahme Linux-Kiste reicht vollkommen aus, die Bremse ist bislang immer der DSL-Zugang gewesen, und wenn nicht der, dann die lahmen WLAN-Chipsätze in den alten Rechnern. Oder eine antike 10 MBit-Karte in ebenso antiker Hardware. Die Linux-Kiste hat nebenbei auch noch genug Resourcen, um DNS, DHCP und NTP zu erledigen.

        Alexander

        --
        Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".
        1. hi,

          Warum soll ich mir in einem "Netz" aus exakt zwei Geräten und einem Kabel sorgen um Broadcasts machen, wenn keines der beiden Geräte im Normalbetrieb exzessiv Broadcasts nutzt?

          Warum eine Maskenlänge von 24 für eine Handvoll Geräte? Weil es in den Default-Einstellungen so ist?

          Es gibt immer gute Gründe, ein Netz zu verkleinern, einer davon ist der Broadcast, schau Dir mal mit einem Netzwerkanalysetool Dein Netz an. Ein anderer Grund ist die Sicherheit, böswillige Hacker kennen natürlich die Defaulteinstellungen der Netzwerkgeräte für den Heimgebrauch und dringen da ganz schamlos ein in Dein privates 192.168.1.0/24 (da gabs vor einiger Zeit einen heise Artikel darüber).

          Wenn Du Lust und Laune hast, kannst Du ja mal Dein privates Netz umdesignen auf 10.0.0.0/8. Nur malso um das Verständnis zu wecken für einen Broadcaststurm ;)

          Hotti

          1. Moin Moin!

            Es gibt immer gute Gründe, ein Netz zu verkleinern, einer davon ist der Broadcast, schau Dir mal mit einem Netzwerkanalysetool Dein Netz an.

            Hallo? Jemand zuhause? Nix Broadcast in kleines Netz!

            Ein anderer Grund ist die Sicherheit, böswillige Hacker kennen natürlich die Defaulteinstellungen der Netzwerkgeräte für den Heimgebrauch und dringen da ganz schamlos ein in Dein privates 192.168.1.0/24 (da gabs vor einiger Zeit einen heise Artikel darüber).

            Klar gibt es die Wege, immer schön über Bande im Browser. Und das fällt bei mir hart auf die Nase, weil erstens die Default-Einstellungen mit meinen Einstellungen keine Ähnlichkeit haben und ich zweitens nicht gleichzeitig surfe und am Webinterface des Routers arbeite. Und drittens setzen viele dieser Angriffswege aktives Javascript und/oder Flash und/oder Java voraus. Auch das fällt bei mir flach, bis auf wenige ausgewählte Sites ist das alles lahmgelegt.

            Wenn Du Lust und Laune hast, kannst Du ja mal Dein privates Netz umdesignen auf 10.0.0.0/8. Nur malso um das Verständnis zu wecken für einen Broadcaststurm ;)

            Das IP-Schema wird exakt GAR KEINEN Einfluß auf die Broadcasts haben, so lange ich meine Rechneranzahl nicht massiv erhöhe. Außerdem kann ich dann mein Netzwerk nicht mehr in einzelne Netze auftrennen, alle Rechner hingen im selben Netz, was überhaupt nicht meinen Anforderungen entspricht.

            Was soll also dieser Unfug?

            Alexander

            --
            Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".
          2. Moin!

            Es gibt immer gute Gründe, ein Netz zu verkleinern, einer davon ist der Broadcast, schau Dir mal mit einem Netzwerkanalysetool Dein Netz an.

            Welchen Einfluss hat die Größe des konfigurierten Netzwerksegments bei ansonsten identischen Parametern (insbesondere Anzahl der angeschlossenen Hosts) auf den Broadcast?

            Ein anderer Grund ist die Sicherheit, böswillige Hacker kennen natürlich die Defaulteinstellungen der Netzwerkgeräte für den Heimgebrauch und dringen da ganz schamlos ein in Dein privates 192.168.1.0/24 (da gabs vor einiger Zeit einen heise Artikel darüber).

            WENN ein böswilliger Hacker sich hardwaremäßig mit dem Netzwerk verbinden kann, wird er eine Weile auf dem Netz lauschen, alles mitschneiden, was vorbeikommt, und anhand der aufgetretenen IP-Adressen die Netzwerkparameter erkennen.

            Wenn Du Lust und Laune hast, kannst Du ja mal Dein privates Netz umdesignen auf 10.0.0.0/8. Nur malso um das Verständnis zu wecken für einen Broadcaststurm ;)

            Du implizierst, die Anzahl, Häufigkeit und/oder Größe von Broadcast-Datenpaketen steigt mit der Größe des Netzwerksegments. Warum? Wodurch ist das technisch bedingt?

            - Sven Rautenberg

    2. Hello,

      Warum nur?

      Naja, das Szenario ist noch interessanter und ich probiere das aus für Ferienhäuser, die über das Internet überwacht werden. Je mehr im Haus über das Internet und einen lokalen Server gemessen, gesteuert und geregelt wird, desto wichtiger ist es, dass die Gäste, die den Internetzugang auch nutzen dürfen, keinen Zugriff haben. Und auf die jeweiligen Bürorechner sollen sie auch nicht zugreifen können; diese müssen aber mit dem Kontroll-Server kommunizieen können.

      Wahrscheinlich wären zwei getrennte Internetanschlüsse billiger, aber nicht so interessant ;-)

      Liebe Grüße aus dem schönen Oberharz

      Tom vom Berg

      --
       ☻_
      /▌
      / \ Nur selber lernen macht schlau
      http://bergpost.annerschbarrich.de
      1. Moin Moin!

        Warum nur?

        Wahrscheinlich wären zwei getrennte Internetanschlüsse billiger, aber nicht so interessant ;-)

        Richtig.

        Naja, das Szenario ist noch interessanter und ich probiere das aus für Ferienhäuser, die über das Internet überwacht werden. Je mehr im Haus über das Internet und einen lokalen Server gemessen, gesteuert und geregelt wird, desto wichtiger ist es, dass die Gäste, die den Internetzugang auch nutzen dürfen, keinen Zugriff haben. Und auf die jeweiligen Bürorechner sollen sie auch nicht zugreifen können; diese müssen aber mit dem Kontroll-Server kommunizieen können.

        Für Gäste erreichbare Ports (+WLAN-APs) in DMZ 1..n für Haus 1..n
        Steuerrechner in DMZ n+1.
        selbst gehosteter Server in DMZ n+2, bei Bedarf
        Büro-Systeme ins interne Netz.

        Router, der folgende Verbindungsaufbauten zuläßt:

        Internes Netz -> DMZ n+1 (Steuerrechner)
        Internes Netz -> Internet
        DMZ 1..n -> Internet
        Internet -> DMZ n+2 (Port Forwarding, bei Bedarf)
        DMZ 1..n -> DMZ n+2 (wenn Du möchtest)

        Wenn es Dir egal ist, dass sich die Gäste in den einzelnen Häusern in die Quere kommen können, kannst Du auch alle Gäste-Ports stumpf in eine einzige DMZ packen.

        Wie verkabelst Du die einzelnen Häuser? Mit "normalem" Ethernet ist nach 100m Schluß. Und normales Cat5/6/7 einfach so zu verbuddeln oder an die Wand zu nageln ist auch nicht so toll.

        Alexander

        --
        Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".