Hi. Ich suche einen Switch - möglichst günstig - bei dem man Client Isolation einstellen kann, und zwar Portgruppenbasiert. Portgruppe A soll nicht direkt mit Portgruppe B kommunizieren können, sondern nur zum Uplink Port. Innerhalb der jeweiligen Portgruppe soll Komunikation erlaubt sein. LG
Tim schrieb: > Portgruppe A soll nicht direkt mit Portgruppe B kommunizieren können, > sondern nur zum Uplink Port. Innerhalb der jeweiligen Portgruppe soll > Komunikation erlaubt sein. Das kann eigentlich jeder manageable Switch. Man muss bloß verstehen, was man mit VLANs machen kann und was die diesbezüglichen Konfigurationsmöglichkeiten der Ports bewirken.
Hört sich an wie Cisco PVLAN. Können nur die besseren Modelle normalerweise. Ich nehme an es soll auch Gigabit sein? Alternativ könntest Du es mit verschiedenen VLANs lösen. Dann muss allerdings der Uplink ein Trunk (802.1q) sein und das Gerät da dran damit umgehen können.
Beitrag #5854539 wurde vom Autor gelöscht.
Markus M. schrieb: > Hört sich an wie Cisco PVLAN. Können nur die besseren Modelle > normalerweise. Nö, das hört sich an wie VLan und das kann inzwischen jeder Switch mit Management. Markus M. schrieb: > Dann muss > allerdings der Uplink ein Trunk (802.1q) sein und das Gerät da dran > damit umgehen können. Oder der Switch kann Layer3-Routing und koppelt die VLans selber.
Horst schrieb: > Nö, das hört sich an wie VLan und das kann inzwischen jeder Switch mit > Management. Nö, Du hast die Anforderung nicht gelesen. Trennung auf L2 zwischen verschiedenen Gruppen, aber mit gemeinsamen Uplink auf L2. Wenn es wirklich so laufen soll wie vom TO gewünscht, entspricht es dem "Private VLAN" Feature. >> Dann muss >> allerdings der Uplink ein Trunk (802.1q) sein und das Gerät da dran >> damit umgehen können. > > Oder der Switch kann Layer3-Routing und koppelt die VLans selber. Ja, so würde man es wohl normalerweise lösen. Zumal die Trennung auf L3 auch für die Fehlersuche einfacher wäre, wer hantiert schon gerne mit MAC-Adressen und -Tabellen rum. Aber wenn es denn "transparent" sein muss bliebe nur obige Lösung.
:
Bearbeitet durch User
Markus M. schrieb: > Horst schrieb: > >> Nö, das hört sich an wie VLan und das kann inzwischen jeder Switch mit >> Management. > > Nö, Du hast die Anforderung nicht gelesen. Trennung auf L2 zwischen > verschiedenen Gruppen, aber mit gemeinsamen Uplink auf L2. Es stand nicht geschrieben, das Portgruppe B den Uplinkport benutzen soll/darf :P
Tim schrieb: > Portgruppe A soll nicht direkt mit Portgruppe B kommunizieren können, > sondern nur zum Uplink Port. Innerhalb der jeweiligen Portgruppe soll > Komunikation erlaubt sein. Und wie sieht es auf dem Uplink-Port aus? Darf da je nach Portgruppe ein VLAN-Tag gesetzt sein um die Portgruppen sauber auseinander halten zu können? Wenn ja, dann wäre das mit pro Port konfigurierbaren VLANs lösbar, so wie es heute eigentlich bei jedem managebaren Switch möglich ist. Wenn nein, könnte man das mit komplexeren Filterregeln umsetzen. Bei einigen Herstellern von managebaren Switchen hat man bei der Definition der Filterregeln relativ viele Optionen, inkl. Ein- und Ausgangsport. Z.B. bei Zyxel müsste das gehen. (Ich mag die Zyxel aber nicht, weil man bei denen für die Webgui kein eigenes Zertifikat fürs HTTPS hinterlegen kann).
Normales VLAN, mit einem Uplink pro Gruppe, oder alle zusammen einen Uplink als Trunk. Die Clients arbeiten völlig normal, ohne Kenntnis des VLAN. Nur den Trunk interessiert das. Ein VLAN Tagging auf dem Uplink, also dem Trunk, ist für Server und normale PCs kein Problem.
:
Bearbeitet durch User
Deutlich schmutziger: Stinknormaler Dummswitch, aber verschiedene IP-Netze im gleichen LAN und IP-Filter im Gerät vom Uplink. Ist nicht narrensicher, weil findigere Client-Admins mehr können als sie dürfen, aber vielleicht reicht es.
A. K. schrieb: > Deutlich schmutziger: Stinknormaler Dummswitch, aber verschiedene > IP-Netze im gleichen LAN und IP-Filter im Gerät vom Uplink. Ist nicht > narrensicher, weil findigere Client-Admins mehr können als sie dürfen, > aber vielleicht reicht es. Keine gute Idee. Du hast nicht nur findige Client-Admins, sondern evtl. auch Trojaner, die als Client-Admin fungieren. Und die können deutlich findiger werden als die Menschen, die man eigentlich an den Clients vermutet.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.