Re: VLAN konfiguration
Am Montag, 7. März 2005 15:24 schrieb Oliver Fritz:
> Hallo.
Selber Hallo.
Evtl. flachse Liste erwischt? Das ist ja hier mehr als OT. Und dann auch
noch 2 x mit unterschiedlichem Subject?
Nun zu trotzdem zu deinen Fragen
> Ich betreibe an einem Cisco Switch 10 Anwendungsserver in einer DMZ.
> An einem weiteren Port ist ein zentraler Uplink zu einem Paketfilter
> installiert. Alle Server können lediglich über den zentralen
> Paketfilter in andere Netzwerke kommunizieren. Sollte jedoch auch nur
> ein Server eine Fehlunktion aufweisen oder "fernadministriert" werden
> sind alle am gleichen Switch angeschlossenen Server verwundbar, da es
> keine Kommunikationrestriktionen auf Layer >2 gibt.
Gut, das kann man ja auf den Servern einrichten, indem man Pakete von
den anderen Servern sperrt.
> Ich möchte nun jeden Port in ein eigenes VLAN konfigurieren und in
> jedes VLAN den Uplink Port zum PF aufnehmen.
Auch wenn du nicht schreibst, welchen Cisco-Switch du verwendest - 10
VLANs können die immer ;-)
> Damit soll erreicht
> werden, dass die Server nur noch über den PF kommunizieren können und
> nicht auf direktem Wege mit Servern des gleichen Switches.
> Ist es möglich dies umzusetzen?
Ja. Für die Konfiguration des CISCO siehe in das CISCO-Handbuch und das
Handbuch zum IOS.
> Evtl. kann man nicht mehrere VLANs an
> den Uplink Port binden?
Das wäre ja ein Schwachsinn. Die Pakete werden dann getagged über diesen
Port weiter geleitet. Allerdings muss jetzt dein PF die VLAN-Tags
wieder entfernen können. Wenn es ein Debian ist, kann er es (IIRC gibt
es aber bei bestimmten NICs Probleme).
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: