Mehrere VLAN einem Ethernetanschluss zuordnen

Nöö, aber Du kannst dem Switchport versuchen das beizubringen....
Frage ist nur, welchen Sinn hätten die VLANs dann?
Grüße Jody

Hi,

bin zwar nicht der TO, aber sein Kollege und habe die Frage heute aufgeworfen. Diese hatte folgenden Hintergrund:
Es gibt mehrere per VLAN separierte IP-Netze aus denen heraus die jeweiligen Server auf das genannte NAS ihre Datensicherung "schieben" sollen. Die Netze sind auf Layer3 über einen Firewallcluster aus 2x Fortigate 300c verbunden (bzw. getrennt/reglementiert). Wenn ich nun das NAS in ein weiteres VLAN mit dem IP-Netz n+1 stelle und allen Netzen auf der Firewall Zugriff aufs NAS gestatte, wird dies zwar funktionieren, jedoch ist der Durchsatz der Firewall der begrenzende Faktor - insbesondere, wenn wir Server- und NAS-seitig auf 10G umstellen. Deshalb würde ich das lieber ohne Routing - also auf Layer 2 - regeln. Das Einfachste wäre halt, das NAS hätte ein "Beinchen" in jedem VLAN. In diesem Zusammenhang ist auch diese Frage zu sehen: http://forum.qnapclub.de/viewt…&t=19848&p=110349#p110349
Wenn das nicht möglich ist, habe ich aber auch schon eine andere Idee...

Gruß
Steffen

Aus meiner Sicht wäre der Aufbau über die Firewall der sichere Weg.
Wenn Du einen Switchport "untag"st, laufen alle VLANs auf diesem Port zusammen und es snsteht ein Risiko, das dieser Port kompromitiert werden kann,
bzw. der Zugriff VLAN-übergreifend erfolgen könnte.

Ich kann durchaus nachvollziehen, das Routing nicht das gewünschte Performanceziel ist, jedoch würde ich in erster Linie prüfen, was das Sicherheitskpnzept vorsieht!
Ggf. sollte beim Entscheider nachgebohrt werden (entweder Finanziell -> zusätzliche(s) NAS(en) oder Entscheidung -> VLAN an einem Port auszuschäkeln)

Grüße
Jody

Guten Morgen und danke für die Antwort!

Zitat von "jody"

Aus meiner Sicht wäre der Aufbau über die Firewall der sichere Weg.
Wenn Du einen Switchport "untag"st, laufen alle VLANs auf diesem Port zusammen und es snsteht ein Risiko, das dieser Port kompromitiert werden kann, bzw. der Zugriff VLAN-übergreifend erfolgen könnte.

Ein VLAN-übergreifender Zugriff wäre bei korrekter Switchkonfiguration auszuschließen. Der Weg über die Firewall böte lediglich den Vorteil, dass der Zugriff granularer gesteuert werden könnte - bis hin zu einem Zeitfenster, in dem die Zugriffe erlaubt sind. Der "Sündenfall" ist eigentlich, dass sich Server aus verschiedenen Sicherheitszonen ein Netzwerkgerät als Sicherungsmedium teilen sollen. Damit muss in erster Linie das NAS ausreichend sicher sein und den Zugriff auf unberechtigte Bereiche zuverlässig unterbinden. Klar: Man kann das über Benutzerberechtigungen regeln - die Sorge ist aber, dass sich diese Berechtigungsstruktur durch Implementierungsfehler umgehen lassen könnte.
Diese Erwägungen gelten zumindest dann, wenn das NAS aus den verschiedenen Sicherheitsbereichen heraus adressierbar ist. Man könnte auch den Server in der Zone mit den höchsten Sicherheitsanforderungen dazu missbrauchen, die Daten von den anderen Servern "einzusammeln" und aufs NAS zu schreiben. Dann müsste man auf der Firewall den (initialen) Zugriff nur vom höchsten in niedrigere Securitylevel erlauben, was unter Sicherheitsaspekten vertretbarer wäre. Neben dem Durchsatzproblem käme dann aber auch ein Handhabungsproblem im Wiederherstellungsfall hinzu.
Im Zweifel müsste man halt doch für jedes Securitylevel ein eigenes NAS bereitstellen. Ich lass mir was einfallen!

Gruß
Steffen

Hallöle,

wenn sich alle genannten Geräte in räumlicher Nähe zueinander befinden, ließe sich das Problem vielleicht folgendermaßen lösen:
Rüste alle zu sichernden Server mit einer zusätzlichen Netzwerkkarte aus, und verbinde diese (ohne Standard Gateway) mit einem Switch auf dem auch das NAS einen Port erhält. Nun richtest Du für jeden Server einen Nutzer auf dem NAS ein und legst jeweils ein entsprechendes lokales Konto auf dem Server an.
Hiermit ließe sich eine 1:1 Sicherung anlegen.
Da auf den Servern kein Routing erfolgt, ist auch kein Zugriff aus den VLAns auf das NAS möglich.
Problem solved....

Grüße
Jody