Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Themen

Für jede DMZ eigenes Vlan auf Switch?

Anonyme Ente
in Netzwerke

Empfohlene Antworten

Veröffentlicht

Servus, ich habe eine Frage.

Und zwar, ist es vorteilhaft für jede DMZ (z.B. /30 Subnetze) ein eigenes Vlan zu errichten, oder macht das mehr oder weniger keinen Unterschied einfach nur ein Vlan "DMZ" einzurichten und darüber alle DMZ Subnetze laufen zu lassen?

Gibt es dadurch einen massiven Security boost oder ist das eher über ambitioniert? 

 

LG

  • Autor
vor 9 Stunden schrieb Maniska:

Ähm, wie willst du Subnetze ohne zugehörige VLANs einrichten?

Soweit ich verstanden habe könnte ein Vlan mehrerer Subnetze beherbergen? 

Oder bin ich auf einen ganz falschen Dampfer? 

vor einer Stunde schrieb Anonyme Ente:

Soweit ich verstanden habe könnte ein Vlan mehrerer Subnetze beherbergen? 

Ja und Nein. Innerhalb einer Broadcast Domäne könntest du natürlich verschiedene Subnetze haben aber das macht in der Praxis kaum Sinn. Ein Vlan soll ja schließlich den Zugriff zwischen den verschiedenen Subnetzen isolieren.

Angenommen du hast folgende Netze:

  • 192.168.178.0 /24 (Mitarbeiter)
  • 172.30.0.0 /24 (Geschäftsführung)

Ohne Vlan könnte nun ein Mitarbeiter auf den Gedanken kommen, einfach bei seinem Rechner die IP-Adresse auf eine IP-Adresse im Netz der Geschäftsführung zu ändern und könnte dann mit den Systemen von der Geschäftsführung kommunizieren (vorausgesetzt natürlich die hängen am selben Switch ohne Router / Firewall dazwischen). 

Das ist natürlich unschön und möchte man verhindern. Mit Vlans werden separate Broadcast Domänen erzeugt, womit man die einzelnen Subnetze voneinander isolieren kann.

Bearbeitet von Interrupt

Am 27.6.2022 um 18:57 schrieb Interrupt:

[...]Ohne Vlan könnte nun ein Mitarbeiter auf den Gedanken kommen, einfach bei seinem Rechner die IP-Adresse auf eine IP-Adresse im Netz der Geschäftsführung zu ändern und könnte dann mit den Systemen von der Geschäftsführung kommunizieren[...]

Bei /30er Netzen zwar nur schwer möglich, aber es macht auch keinen Sinn, mehrere Netze in ein vlan zu packen. Das bringt nur Probleme mit sich und lässt es unübersichtlich wirken. Wobei ich mich frage, ob das alles so Mini Netze (quasi nur 1 Server) sind, oder ob das nur ein Beispiel war.

Standard nimmt man pro Netz ein vlan und lässt es dann entweder auf einem L3-Switch / Router oder auf einer Firewall terminieren - je nach Konzept. Es gibt zonenbasierte Konzepte, es gibt auf IP Adresse basierte und es gibt interface basierte Konzepte., sowie Mischkonzepte für Firewalls. So könnte z.B. alles innerhalb einer Zone auf dem Switch geroutet werden, da auf der Firewall jeglicher Traffic zwischen ihnen erlaubt ist.

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.