Printer in apart VLAN?

makkelijker te managen... alles bij elkaar in 1 subnet.

Afscherming? Maar de hele oplossing hangt helemaal af van hoe je netwerk inrichting is.

In een wat grotere omgeving zou ik er zeker voor gaan. Bij een MKB omgeving, zonde van de energie.
\Maar alles hangt van de omgeving af.

Je zou een apart VLAN gebruiken om dezelfde reden dat je andere dingen in een apart VLAN stopt: om het te scheiden zonder extra switches/kabels te leggen.

Het is gewoon een optie;

1) niet scheiden, geen VLANs, alles op hetzelfde netwerk, iedereen kan er mee babbelen

2) wel scheiden, geen VLANs, een extra fysiek printernetwerk aanleggen en je firewall zo instellen dat jij kan bepalen wie waarmee kan praten

3) wel scheiden, geen VLANs, geen extra fysiek netwerk, maar een ander subnet, zonder andere controle, zodat iedereen die multihomed is er mee kan babbelen (of je moet cross-subnet zonder router kunnen praten tussen de subnets)

4) wel scheiden, VLANs, je kan alles op 1 fysiek netwerk houden, en toch beslissen wie met de printers kan communiceren, al dan niet met een firewall zodat binnen dat printer VLAN niet alle printers voor iedereen bereikbaar zijn, maar dan moet je VLAN wel achter een firewall zitten.

5) wel scheiden, VLANs, je kan alles op 1 fysiek netwerk houden, en sommige clients kan je dan op het printer VLAN toelaten.

Er is geen 'catch all' configuratie voor netwerken. Soms wil je VLANs, soms wil je Firewalls, soms speciale routeringstabellen en diverse subnets. Soms wil je alles.

Dat je ook een VLAN kan gebruiken om via managed switches netwerken fysiek te consolideren heeft niet zo veel met printers te maken...

Omdat printers vaak set-and-forget zijn. Ze worden neergezet, maar nooit meer geüpdatet. Een ideale springplank voor hackers.

DiedX schreef op maandag 19 augustus 2013 @ 17:41:
Omdat printers vaak set-and-forget zijn. Ze worden neergezet, maar nooit meer geüpdatet. Een ideale springplank voor hackers.

Ik denk dat je in zo'n situatie ook wel andere problemen hebt, zoals slecht beheer
Als je set-and-forget wil, dan kan je beter een USB printer nemen en dan een RIP gebruiken die gewoon managed is.

Als je set-and-forget netwerkprinters neerzet en verder geen management policies hanteert die daar betrekking op hebben denk ik dat je ook niet echt ergens zit waar je VLANs gebruikt. Kans is groot dat je een 8-poorts unmanaged switch hebt staan en een of ander consumenten breedband abbo'tje gebruikt met meegeleverde CPE die dan ook maar firewall, dhcp, nat en routing voor je doet en dan vaak ook nog met default settings.

Ik zie het nut in een kleine omgeving niet, maar in een grote omgeving kan je alle printers een IP adres uit dezelfde range geven, registreren in DNS, en makkelijk security policies op toepassen op je firewall, zoals: geen internet verkeer mogelijk, maar alleen toegang tot een printserver of iets dergelijks. Er zijn wel gevallen bekend van printers die publiek toegankelijke webinterfaces hadden en exploit, en als proxy fungeerden om het bedrijf verder te hacken. Maargoed, dat is doomdenken, en echt een harde eis dat printers in een VLAN móeten is er niet, het is gewoon een host net als PC / laptops / tablets, en die scheidt je ook niet

Ja dat bedoelde ik met makkelijker te managen; ik ben veel te vaak veels te kort door de bocht

Vergeet ook niet dat als de printers afgeschermd in een VLAN zitten dat mensen er ook niet mee kunnen gaan klooien. Papier/ladeinstellingen verprutsen enzo.

En met VLAN's verminder je ook het netwerkverkeer op je totale netwerk, je laat bepaalde items in een bepaald VLAN met elkaar praten, wat voorkomt dat ze broadcasts over je gehele netwerk sturen.

Ook voorkom je daarmee dat de printers zichtbaar zijn voor de eindgebruikers (in "Netwerkomgeving" bijv. of in de wizard om netwerkprinters toe te voegen).

[ Voor 21% gewijzigd door ThinkPad op 19-08-2013 23:37 ]

ThinkPadd schreef op maandag 19 augustus 2013 @ 23:23:
Vergeet ook niet dat als de printers afgeschermd in een VLAN zitten dat mensen er ook niet mee kunnen gaan klooien. Papier/ladeinstellingen verprutsen enzo.

Dat heeft toch niets met een VLAN te maken? Die settings zitten in de printerdriver of anders in de printer zelf en die kunnen eindgebruikers niet aanpassen als ze daar geen rechten voor hebben lijkt mij.

Een printer niet in een VLAN stoppen betekent dat mensen de printer direct kunnen aansturen (en dus betaalsystemen kunnen omzeilen). Maargoed, als je dan toch met VLAN's werkt, sloop dan wel een eventuele USB poort uit de printer.

Ik denk dat je het idee wel hebt begrepen. Het is een logische scheiding van je andere netwerk. Het zelfde vraagstuk kan je hebben over een apart VLAN voor Servers, werkplekken, telefonie, etc.. Daar wordt het meer geaccepteerd.

Op zich is het een interessant topic, maar ik vind de topicstart wat aan de magere kant. een discussietopic over de inzet van VLAN's is interessant, maar dan moet er wel een wat uitgebreidere aanzet voor een discussie worden gemaakt.

Zodoende gaat dit topic dicht.