Beveiliging & restricties d.m.v. VLAN: Welk apparatuur?

woensdag 3 november 2010 19:43

Acties:

0 Henk 'm!

Topicstarter

Voor mijn vader moet ik het netwerk op het bedrijfje opstellen.

Omdat niet alle hosts met elkaar mogen communiceren dacht ik aan VLAN
in combinatie met een router zodat bepaalde hosts wel kunnen communiceren.
Via de routingtable kan ik dan het bovenstaande instellen.

Afbeeldingslocatie: http://users.skynet.be/fa089188/VLAN.jpg

Afbeeldingslocatie: http://users.skynet.be/fa089188/VLAN.jpg

Hier kan bv VLAN 1&4; 2&4; 3&4; 5&3 met elkaar communiceren.
Ook mogen bepaalde VLAN's geen toegang hebben tot het internet.

Ik heb niet veel ervaring in dit gebied en ik weet niet in welk budget ik moet rekenen.

Beter Port- of Tag based switchen?
Kan je beter alles in één kopen? (Firewall + router + managed switch)
Wat zou het ongeveer kosten, zonder overkill ?
Is dit een goede oplossing?

Alvast bedankt voor u inzet!

P.S. internet router is een Thomson WL 608 ( niet te gebruiken, beveiligd door provider )

woensdag 3 november 2010 19:45

Acties:

0 Henk 'm!

CyBeR

💩

Dat kun je al doen met een Layer 3 switch die ACL's ondersteunt.

Oh, en inb4laathetdoendoorprofessionals.

[ Voor 25% gewijzigd door CyBeR op 03-11-2010 19:45 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

woensdag 3 november 2010 19:49

Acties:

0 Henk 'm!

.phoz

Topicstarter

CyBeR schreef op woensdag 03 november 2010 @ 19:45:
Oh, en inb4laathetdoendoorprofessionals.

Ik heb slechte ervaring met "professionals"...

[ Voor 35% gewijzigd door .phoz op 03-11-2010 20:24 ]

woensdag 3 november 2010 23:32

Acties:

0 Henk 'm!

.phoz

Topicstarter

Is de Cisco SRW2008MP een goede keuze?

woensdag 3 november 2010 23:37

Acties:

0 Henk 'm!

Picaroon

@phoz: dan huur je de verkeerde mensen in.

woensdag 3 november 2010 23:37

Acties:

0 Henk 'm!

Uberprutser

.phoz schreef op woensdag 03 november 2010 @ 19:49:
[...]
Ik heb slechte ervaring met "professionals"...

Gelukkig zijn de meeste hulpzame personen hier op GoT geen "professionals".

.phoz schreef op woensdag 03 november 2010 @ 23:32:
Is de Cisco SRW2008MP een goede keuze?

VLAN's: Ja, routeren binnen die VLAN's: Nee. Geen optie dus.

En wat je wil is met een simpele switch niet op te lossen. Misschien iets anders verzinnen zonder die onlogische VLAN constructie? Ofwel plaats eens wat je er precies mee wil bereiken.

[ Voor 15% gewijzigd door Uberprutser op 03-11-2010 23:39 ]

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.

woensdag 3 november 2010 23:42

Acties:

0 Henk 'm!

Yippie

Hoe de performance IRL is weet ik niet, maar schijnt wel te kunnen wat je wil

maar niet routeren binnen VLAN's dus..

[ Voor 10% gewijzigd door Yippie op 03-11-2010 23:44 ]

woensdag 3 november 2010 23:52

Acties:

0 Henk 'm!

.phoz

Topicstarter

Ballebek schreef op woensdag 03 november 2010 @ 23:37:
En wat je wil is met een simpele switch niet op te lossen. Misschien iets anders verzinnen zonder die onlogische VLAN constructie? Ofwel plaats eens wat je er precies mee wil bereiken.

Het gaat om het isoleren van het verkeer.

.phoz schreef op woensdag 03 november 2010 @ 19:43:
Hier kan bv VLAN 1&4; 2&4; 3&4; 5&3 met elkaar communiceren.
Ook mogen bepaalde VLAN's geen toegang hebben tot het internet.

Vlan 1 & 2 : besturingskasten
Vlan 4: interne pc voor opslag & verwerking van data van besturingskasten
Vlan 3: netwerkprinter
Vlan 5: pc voor te surfen, mailen, ....

De besturingskasten mogen enkel met de interne pc kunnen communiceren, niet met elkaar.
De printer enkel met de 2 pc's
Printer (af en toe) & surfpc met het internet.

Ballebek schreef op woensdag 03 november 2010 @ 23:37:
[...]

Gelukkig zijn de meeste hulpzame personen hier op GoT geen "professionals".

[...]

VLAN's: Ja, routeren binnen die VLAN's: Nee. Geen optie dus.

En wat je wil is met een simpele switch niet op te lossen. Misschien iets anders verzinnen zonder die onlogische VLAN constructie? Ofwel plaats eens wat je er precies mee wil bereiken.

Vandaag in het hoorcollege (computernetwerken) ging het over VLAN en waarbij een router wordt gebruikt om communicatie tussen verschillende VLAN's mogelijk te maken. Maar de praktijk ervan, bij het combineren van een dergelijke switch & router komt niet voor in het vak. Daarom dat ik met die vraag naar hier kom

woensdag 3 november 2010 23:56

Acties:

0 Henk 'm!

johnkeates

Een apparaat met DD-WRT kan dat allemaal al... het is dan software (tagging), maar het werkt wel. Mocht je geld hebben, dan kan je het beter niet zelf gaan doen, maar wel beter iemand met certificering huren die het voor je doet.

donderdag 4 november 2010 00:06

Acties:

0 Henk 'm!

aZuL2001

.phoz schreef op woensdag 03 november 2010 @ 23:52:
Het gaat om het isoleren van het verkeer.

Dat lijkt me duidelijk, maar het waarom niet.

Vlan 1 & 2 : besturingskasten
Vlan 4: interne pc voor opslag & verwerking van data van besturingskasten
Vlan 3: netwerkprinter
Vlan 5: pc voor te surfen, mailen, ....

De besturingskasten mogen enkel met de interne pc kunnen communiceren, niet met elkaar.
De printer enkel met de 2 pc's
Printer (af en toe) & surfpc met het internet.

En wat is er mis met de interne pc samen met de besturingskasten op een simpele en geisoleerde switch ?
En de printer en de twee werkstations aan je router hangen ?

Of is dit een geval van ik heb budget over of omdat het kan ?

Abort, Retry, Quake ???

donderdag 4 november 2010 00:13

Acties:

0 Henk 'm!

CyBeR

💩

.phoz schreef op woensdag 03 november 2010 @ 23:52:
[...]
Vandaag in het hoorcollege (computernetwerken) ging het over VLAN en waarbij een router wordt gebruikt om communicatie tussen verschillende VLAN's mogelijk te maken. Maar de praktijk ervan, bij het combineren van een dergelijke switch & router komt niet voor in het vak. Daarom dat ik met die vraag naar hier kom

Layer 3 switch. Combineert switching en routing. Hoeft niet eens duur te zijn als 't niet gigabit moet zijn, hoewel ACL's erbij nodig hebben de prijs wel omhoog drijft.

Als je veel poorten hebt kun je dat natuurlijk nog wel uit elkaar trekken door bijvoorbeeld een HP E2915[1] te nemen voor je routing en ACL's, en als je meer poorten nodig hebt een gewone goedkope layer 2 switch met vlan ondersteuning te kopem.

[1] http://h10010.www1.hp.com...2302-4172278-4219915.html

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 4 november 2010 00:22

Acties:

0 Henk 'm!

.phoz

Topicstarter

aZuL2001 schreef op donderdag 04 november 2010 @ 00:06:
[...]
Dat lijkt me duidelijk, maar het waarom niet.

Eisen van de fabrikant van de besturingskasten

aZuL2001 schreef op donderdag 04 november 2010 @ 00:06:
En wat is er mis met de interne pc samen met de besturingskasten op een simpele en geisoleerde switch ?
En de printer en de twee werkstations aan je router hangen ?

Of is dit een geval van ik heb budget over of omdat het kan ?

Omdat de 1ne besturingskast aan de router moet hangen ( was het vergeten te melden)
De interne pc en de surfpc allebij moeten kunnen printen.

Of bedoel je dat de interne pc 2 interfaces moet hebbben ( aan beide netwerken moet hangen )

CyBeR schreef op donderdag 04 november 2010 @ 00:13:
[...]
Layer 3 switch. Combineert switching en routing. Hoeft niet eens duur te zijn als 't niet gigabit moet zijn, hoewel ACL's erbij nodig hebben de prijs wel omhoog drijft.

\[1] http://h10010.www1.hp.com...2302-4172278-4219915.html

8 poorten & 100 mbit is zeker voldoende.
Hoewel het er niet specifiek bijstaat, layer 3, voldoet de Cisco SRW2008MP hieraan? *edit* Ik denk van niet.
Ken jij een betaalbare Layer 3 switch?

1 van de besturingskasten heeft portforwarding nodig , maar dat is toch zeker geen probleem?

[ Voor 47% gewijzigd door .phoz op 04-11-2010 01:15 ]

donderdag 4 november 2010 08:47

Acties:

0 Henk 'm!

Bloodshot

.phoz schreef op woensdag 03 november 2010 @ 19:49:
Ik heb slechte ervaring met "professionals"...

Een hoop professionals hebben slechte ervaring met hobbyende gebruikers (home-switches op onze KA-switches enzo).

Mijn advies: Probeer een Cisco 3550 of 3560 met enhanced image te scoren. 24 of 48 poorten, VLAN's, ACL's, routing, volgens mij kan het ding alles wat je hier vraagt.

donderdag 4 november 2010 09:00

Acties:

0 Henk 'm!

aZuL2001

.phoz schreef op donderdag 04 november 2010 @ 00:22:
Eisen van de fabrikant van de besturingskasten

Wat beschrijven die eisen dan ?
Eisen ze vlans of suggereren ze dat ?

En alle info verstrekken is wel handig ja

[ Voor 12% gewijzigd door aZuL2001 op 04-11-2010 09:01 ]

Abort, Retry, Quake ???

donderdag 4 november 2010 11:26

Acties:

0 Henk 'm!

.phoz

Topicstarter

Bloodshot schreef op donderdag 04 november 2010 @ 08:47:
Een hoop professionals hebben slechte ervaring met hobbyende gebruikers (home-switches op onze KA-switches enzo).

Mijn advies: Probeer een Cisco 3550 of 3560 met enhanced image te scoren. 24 of 48 poorten, VLAN's, ACL's, routing, volgens mij kan het ding alles wat je hier vraagt.

Maar dat is zware overkill, 24 poorten wanneer ik er max 8 gebruik...

Echt hobbyende ben ik niet, ik studeer ingenieur ( derde jaar )

aZuL2001 schreef op donderdag 04 november 2010 @ 09:00:
Wat beschrijven die eisen dan ?
Eisen ze vlans of suggereren ze dat ?

Vlans zelf suggereren ze niet, ze willen gewoon geen communicatie tussen die 2 besturingskasten.
Maar beide moeten wel communiceren met die interne pc.
En die surfpc mag enkel met internet & printer verbonden zijn.

Bij deze opstelling zie ik enkel Vlan's mogelijk, maar ik vind geen enkele
layer 3 switch van 100 mbit ( voldoende ) met +-8 poorten

Bestaan er nog zo'n?

[ Voor 34% gewijzigd door .phoz op 04-11-2010 11:40 ]

donderdag 4 november 2010 11:49

Acties:

0 Henk 'm!

.phoz

Topicstarter

Juist één gevonden; Cisco SF300-08

Is een managed switch incl router, juist wat ik nodig heb

Of geen aanrader ?

donderdag 4 november 2010 12:07

Acties:

0 Henk 'm!

Uberprutser

"Static Layer 3 Routing" Dus ja...

Maar weet je nu überhaupt wat je in moet gaan stellen, snap je wat er gedaan moet worden e.d. ?

[ Voor 16% gewijzigd door Uberprutser op 04-11-2010 12:13 ]

As you may already have guessed, following the instructions may break your system and you are on your own to fix it again.

donderdag 4 november 2010 17:26

Acties:

0 Henk 'm!

aZuL2001

.phoz schreef op donderdag 04 november 2010 @ 11:26:
Vlans zelf suggereren ze niet, ze willen gewoon geen communicatie tussen die 2 besturingskasten.
Maar beide moeten wel communiceren met die interne pc.

Dan zou je in theorie er met een strakke client firewall ook zijn,
Ervan uitgaande dat het windows doosjes zijn. (i know, assumption...)

Klinkt mij ook een beetje slordig in de oren, wellicht zijn die besturingskastjes zo lek / open / benaderbaar als de plaatselijke coffeeshop

Even voor de beeldvorming, in welke grootte van budget moeten we denken wat die besturingskastjes betreft ?
Want als dat om een omgeving van zeg €50.000 gaat, dan zijn we onze tijd aan het verdoen en kun je die L3 switch er wel bij zetten op de begroting

En die surfpc mag enkel met internet & printer verbonden zijn.

Dat stuk is het meest eenvoudige om te realiseren lijkt me

Bij deze opstelling zie ik enkel Vlan's mogelijk, maar ik vind geen enkele
layer 3 switch van 100 mbit ( voldoende ) met +-8 poorten

http://www.routershop.nl/...yer-2-3/8-poort-switches/

Staan er wel een aantal.

Abort, Retry, Quake ???

donderdag 4 november 2010 17:39

Acties:

0 Henk 'm!

Verwijderd

Als je nog een firewall nodig hebt kan je een Juniper SSG140 gebruiken, alles in een aparte zone gooien en kan je routeren wat je wil.

Kom je poorten te kort gebruik je virtual IP's op de SSG in samenwerking met een layer 2 switch.

Zo zou ik het doen als ik je situatie goed begrijp.

Edit:
Waarom zou je trouwens hetzelfde subnet gebruiken voor alle vlans?

[ Voor 11% gewijzigd door Verwijderd op 04-11-2010 17:40 ]

donderdag 4 november 2010 17:48

Acties:

0 Henk 'm!

.phoz

Topicstarter

Die besturingskasten hebben geen windows besturingsysteem.
Het zijn van die Siemens kasten die wel wat meer waard zijn dan 50k.

Ik ga zoiezo voor een layer 3 switch maar ik moet er nog één vinden.
Zijn dat allemaal geen L2 switchen bij de routershop?

Ik zit nog wel met een vraag,
Ik moet dan 2 poorten(tcp&udp) forwarden naar één besturingskast, is het zeker mogelijk met die L3 switch?

Dus geforward via router naar interface van VLAN (van router) op L3 switch
-> portforwarding table(switch) van VLAN -> VLAN (van besturingskast) met ip ( van besturingskast)

[ Voor 18% gewijzigd door .phoz op 04-11-2010 17:54 ]

donderdag 4 november 2010 17:52

Acties:

0 Henk 'm!

Bloodshot

Waarom moet je poorten forwarden? Je kunt gewoon routeren. Kwestie van de ACL ruim genoeg zetten.

donderdag 4 november 2010 17:55

Acties:

0 Henk 'm!

.phoz

Topicstarter

Bloodshot schreef op donderdag 04 november 2010 @ 17:52:
Waarom moet je poorten forwarden? Je kunt gewoon routeren. Kwestie van de ACL ruim genoeg zetten.

Zodat verbinding vanaf buiten mogelijk is ? Het hele concept van portforwarding achter NAT?

donderdag 4 november 2010 17:59

Acties:

0 Henk 'm!

aZuL2001

.phoz schreef op donderdag 04 november 2010 @ 17:48:
Het zijn van die Siemens kasten die wel wat meer waard zijn dan 50k.

Zou je dan de gekozen oplossing niet een beetje bij het belang en de waarde van die kasten laten passen ?
(wat boeit het aantal poortjes nu nog?)
Leuk probleempje, maar wellicht is het toch handiger om het uit te besteden.

Ingenieur in opleiding of niet, een beetje ter zake kundig persoon had het al werkend opgeleverd intussen.

Ik kan vanuit hier het belang voor je vaders bedrijf niet inschatten, en ook niet in hoeverre jij op je lazer krijgt als het niet goed is.

NOFI.

[ Voor 8% gewijzigd door aZuL2001 op 04-11-2010 18:00 . Reden: aanvulling ]

Abort, Retry, Quake ???

donderdag 4 november 2010 18:13

Acties:

0 Henk 'm!

.phoz

Topicstarter

aZuL2001 schreef op donderdag 04 november 2010 @ 17:59:
(wat boeit het aantal poortjes nu nog?)

Als het met een switch van €200-300 kan, waarom 1000+ gaan?

aZuL2001 schreef op donderdag 04 november 2010 @ 17:59:
Ingenieur in opleiding of niet, een beetje ter zake kundig persoon had het al werkend opgeleverd intussen.

Heb nog 2 maanden tijd om het uit te zoeken...

L3 switch is toch een elegante oplossing?

donderdag 4 november 2010 19:31

Acties:

0 Henk 'm!

Bloodshot

.phoz schreef op donderdag 04 november 2010 @ 17:55:
Zodat verbinding vanaf buiten mogelijk is ? Het hele concept van portforwarding achter NAT?

Dat heb je toch al op de Thompson geregeld...?
Tenzij je daar geen extra routes toe kan voegen naar al je subnets en met dubbele NAT wil/moet gaan werken natuurlijk....

Pagina: 1

Reageer

Onderwerpen