Verständnisfrage

Alles rund um Netzwerktechnik und Protokolle
ddm3ve
Moderator
Moderator
Posts: 1226
Joined: 2011-07-04 10:56

Verständnisfrage

Post by ddm3ve »

Folgendes Problem.

Ich habe mehrere Wirk Server, und einen Backupserver.
Alle Systeme sollen auf dem Backupserver z.B. per FTP oder NFS ihre Sicherungen ab legen können.
Ich möchte jedoch vermeiden, dass die Server untereinander sprechen können.
Wenn nun mein Verständnis zu Switches und vlans richtig ist, dann müsste ich am Port für Backupservers ein taget vlan anlegen und die einzelnen Server je nach Zugehörigkeit in einzelne untagged vlans packen.

dem getaggden vlan füge ich dann die untagged vlans hinzu. Somit sollte der Backupserver alle Quellsysteme erreichen können, aber die Quellsyteme nur mit dem Backup Server reden können.
Sehe ich das so richtig oder wie konfiguriert man das am besten.
Ich wollte nicht explizit eine Firewall dazwischen klemmen.

Viele Grüsse.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Verständnisfrage

Post by nyxus »

Wenn Du mit mehreren "normalen" VLANs arbeitest, dann benötigst Du auch eine Layer3-Instanz dazwischen. Und die muss dann natürlich auch entsprechend filtern.
Einfacher könnte es sein, wenn Dein Switch Funktionen wie z.B. "private VLANs" oder sog. "isolated Ports" unterstützt. Dabei bleiben alle Systeme in einem IP-Subnet/VLAN, können sich aber trotzdem nicht untereinander erreichen. Weiterhin können viele Switche auch stateless ACL auf ihren L2-Switchports. Die besseren Switche haben dann auch VLAN-ACLs, die den Traffic im VLAN filtern können.
ddm3ve
Moderator
Moderator
Posts: 1226
Joined: 2011-07-04 10:56

Re: Verständnisfrage

Post by ddm3ve »

Aktuell habe ich einen Netgear gs748t http://www.netgear.de/products/business ... s748t.aspx zur Hand.
Den hatte ich für den Einsatz geplant.
Gemäss Deiner Antwort muss ich wohl das Handbuch nochmals ausgiebig studieren.
private vlans kann der aber offensichtlich nicht.

Wenn das nicht besser klappt muss ich auf plan B zurück greifen. Nick 1 des Backupservers kommt in das 1. vlan, Nick 2 3 und 4 in die Kundenspezifische vlans.
Dann wäre das ebenfalls "sauber" getrennt.
*Sauber ist relativ.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Verständnisfrage

Post by nyxus »

(kurz in die Netgear-Doku geschaut):
Der Netgear kann "Protected Ports". Das sind die isolated Ports, die ich oben beschrieben habe. Alle Ports, die protected sind, können untereinander nicht kommunizieren. Aber sie können mit Ports kommunizieren, die nicht als protected konfiguriert sind.
Deine normalen Server kommen also an protected Ports, der Backup-Server und auch das Default-Gateway auf "normale" Ports. Eine direkte Kommunikation der Server untereinander ist dann nicht möglich.
Aber ein befallener Server könnte eine 1-Wege-Kommunikation doch herstellen, indem er auf L3 einen der anderen Server adressiert, auf L2 aber sein Default-Gateway. Das DG fühlt sich angesprochen und routet das Paket zum zweiten Server weiter.

Alternativ gehen auch IP-Access-Listen, die auf die Server-Ports angewendet werden. Da bräuchtest Du vier Einträge:

ACE1: permit eigenes Netz -> Backup-Server
ACE2: permit eigenes Netz -> DG
ACE3: deny any -> eigenes IP-Netz
ACE4: permit eigenes Netz -> any
ddm3ve
Moderator
Moderator
Posts: 1226
Joined: 2011-07-04 10:56

Re: Verständnisfrage

Post by ddm3ve »

Ich werde das geplante Setup heute Abend genauer beschreiben.

Generell ist es so, dass alle Systeme über 4 Nic verfügen.

eth0 ist von extern erreichbar. Das Gateway ist eine Endian Firewall.
eth1 wird ein Replikationsnetzwerk je Clusterpaar kommen diese immer in ein eigenes vlan.
eth2 soll das management Lag werden. Erreichbar per vpn.
Hier sollen die Systeme untereinander abgeschottet sein. max. ssh https.
eth3 Wird das Backup Netzwerk. Hier ebenfalls alle Systeme gegeneinander abgeschottet mit Zugriff auf ftp, sftp und / oder nfs auf den Backup Server.

So viel mal fürs erste.

eth0 und eth1 sind im wesentlichen implementiert.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.