Scheiden van netwerk met ieder eigen subnet en buiten IP

Elk Subnet in een Vlan stoppen?

Router on a stick?

Of gewoon switch achter de modem met daarachter 4 routers die elk een eigen vlan/subnet afhandelen? Dan heb je het wel zo gescheiden mogelijk in ieder geval.

[ Voor 81% gewijzigd door Craven op 28-09-2011 16:11 ]

1 kan je switch routeren? zo niet dan heb je een uitdaging want de Cisco kan maar 2 VLAN's aan. Overigens ben je er daar nog niet mee want dan heb je geen scheiding van netwerken.

Beste oplossing is gewoon een firewall met VLAN ondersteuning, bijvoorbeeld een WatchGuard, Juniper of Cisco ASA.

Als eerste zet je de Cisco in Bridge mode en sluit je deze aan op een Firewall. Dit wordt de WAN kant. Op de firewall kan je dan de externe IP adressen zetten. Let op, voor deze configuratie heb je een /28 reeks nodig als je 8 externe ip adressen nodig hebt. (adres 0 en 15 zijn nl netwerk en broadcast, 1 heb je nodig als gateway en dan houd je er 13 over, goedkoper is een /29 reeks. Dan houd je 5 adressen over.

Je maakt op de LAN interface van de Firewall 4 extra VLAN's aan, 1 per bedrijf, bijvoorbeeld VLAN 10,20,30 en 40. De default VLAN laat je untagged als extra netwerk liggen bijvoorbeeld in de reeks 192.168.0.0/24. Deze kan je dan als beheernetwerk gebruiken.

Nu sluit je de Firewall met de LAN interface aan op de managed switch, voorkeur gaat altijd uit naar poort 41 t/m 48 waarbij je van hoog naar laag gaat, dus op bijvoorbeeld poort 48, default VLAN untagged op 1, VLAN 10 t/m 40 tagged. Je hebt nu een verbinding tussen switch en firewall waarover 5 IP segmenten verdeeld zijn en het verkeer hiertussen bepaald wordt door de firewall.

Tenslotte kan je de andere poorten van de switch untagged aanbieden aan de klanten. Bijvoorbeeld poort 1-10 voor klant 1 untagged op VLAN 10, 11-20 voor klant 2 untagged op VLAN 20 etc. etc.

Je hebt nu op je switch:
Klant 1: Poort 1-10
Klant 2: Poort 11-20
Klant 3: Poort 21-30
Klant 4: Poort 31-40
Beheer: Poort 41-47
Firewall: Poort 48

Een goedkopere oplossing is een eigen firewall in elkaar zetten op basis van bijvoorbeeld Smoothwall. Echter heb je dan ten minste 5 of zelfs 6 netwerkkaarten nodig waarbij je voor iedere klant een eigen LAN poort aanmaakt. Wanneer je ESX gebruikt of Hyper-V kan je zelfs alles virtueel draaien en kan je zelfs een virtuele router/firewall implementeren. Scheelt een hoop hardware.

Weet niet of er nog een extra bedrijf bij kan komen in de toekomst, of hoeveel users het ongeveer om gaat, maar je zou ook eens naar een Zywall USG 200 of 300 kunnen kijken.
En vervolgens per bedrijf, achter hun deuren, een switch. Of nog beter, een kleinere Zywall.


Die Zywall's kunnen keurig iedere poort als apart netwerk behandelen.
En kunnen ook met routed subnets overweg.
Of, in geval van de 300, zelfs met extra isp en/of 3G fallback.

Door per bedrijf een eigen router/firewall te nemen weten ze precies wat ze kunnen verklooien, namelijk hun eigen device.
Beheer van de centrale router is daarmee ook een stukje eenvoudiger.


Zou het wel in samenspraak met een partij die weet wat ze aan het doen zijn.
Ivm aansprakelijkheid enzo.


Maar dat gaat dus alleen op als je niet per se aan je overzicht van hardware vast zit.


Second thought : Is dit geen huiswerk opdracht ? (excuse me if i'm wrong)

Wim-Bart schreef op woensdag 28 september 2011 @ 17:20:
1 kan je switch routeren? zo niet dan heb je een uitdaging want de Cisco kan maar 2 VLAN's aan. Overigens ben je er daar nog niet mee want dan heb je geen scheiding van netwerken.

Beste oplossing is gewoon een firewall met VLAN ondersteuning, bijvoorbeeld een WatchGuard, Juniper of Cisco ASA.

...

Idd, met een fatsoenlijke firewall/router kom je een eind. Wij hebben een vergelijkbare oplossing met routers van Sonicwall gerealiseerd (meerdere subnets, ieder gaat via zn eigen ip naar buiten)

De vraag is alleen of je dat wilt...
- De individuele gebruiker kan niet zelf dingen als portforwardings regelen, en iedereen toegang geven tot dat ding is niet handig, want iedereen zit erop.
- Een DSL lijntje en nog eens delen op die manier is vragen om problemen, je zal stevig qos moeten configureren om te voorkomen dat er ellende is/komt
- Wie is er aansprakelijk bij spam, abusemeldingen enz? maw: op welke naam komt de lijn? En bij afsluiten door de isp is alles plat.

Investeren in een fatsoenlijke router + switch icm de nadelen.... ik zou dat zeker niet aanraden op een DSL lijntje. Bij glas is het misschien wel interessant.

Enige optie is gewoon iedereen een IP toekennen en lekker indivdueel laten routeren, dan kan men zn eigen hardware gebruiken. Desnoods met een acl de zooi een beetje dichtspijkeren. Blijft het punt van QoS... een dsl lijntje wil je eigenlijk niet delen.

Is een glasverbinding of een paar dsl lijntjes geen goedkopere/betere oplossing?

@Wim-Bart,

volgens specs zijn er 8 vlans mogelijk.

Wat je zou kunnen navragen bij je provider is of je een /29 blok gerouteerd kan krijgen. Je zorgt ervoor dat de uplink een point2point is (/30)

Je kunt dan zoals wim-bart aangeeft per klant een vlan gebruiken met een ip adres. Daarnaast kun je PAT toepassen per vlan op 1 van de publieke ip adressen uit je subnet.

je kunt dan op de SVI interface een ACL zetten voor eventuele firewalling (welke wel state-less is)