Netzwerksegmentierung: Vergleich v6 <-> v7

Michael · 29. Juli 2021 um 13:27

Hi. Wir haben zu v6.x Zeiten auf Subnetze und VLANs umgestellt und dann die Migration auf v7 angeworfen. Wenn ich nun den alten Plan hier

https://docs.linuxmuster.net/de/v6/systemadministration/network/subnetting-basics/index.html

mit dem neuen Plan hier
https://docs.linuxmuster.net/de/v7/systemadministration/network/networksegmentation/index.html?highlight=subnet

vergleiche, fällt auf, dass zuvor die „nicht-grünen“ Netze nicht über den L3 Switch geleitet wurden, nun aber schon. Klar, das ist jetzt konsequenter/logischer aufgebaut aber ich frage mich, ob durch die alte Vorgehensweise jetzt irgendwelche Nachteile entstehen können – oder ob das evtl sogar ein Vorteil sein kann, wenn nicht auch noch der ganze WLAN Traffic über den L3 Switch muss, sondern stattdessen direkt über die OPNSense-Firewall raus kann?

Oder anders gefragt: Hat jemand von euch migriert und anschließend orange/blau mit hinter den L3 Switch gepackt?

Viele Grüße
Michael

baumhof · 29. Juli 2021 um 14:35

Hallo Michael,

ich habe migriert und danach Blau auch weiterhin icht über den L3 gelegt: warum sollte ich das auch tun?
Der L3 Switch segmentiert mein Grünes Netzt: also ist er in Grün und damit sehe ich keinen Grund, weswegen ich da Blau mit drüber laufen lassen sollte.

Wenn man aber einen Server mit 10GBit/s Anbindung hat, aber nur eine Netzwerkkarte, dann kann es durchaus Sinn ergeben Blau da mit über die Leitung zu jagen und am L3 aus zu sortieren: warum auch nicht?
Ist doch wurscht: soll doch jeder so machen wie er will/ es braucht.
Vielleicht steht es ja deswegen fürher so und jetzt so drin.

LG

Holger

Michael · 29. Juli 2021 um 16:40

Hi Holger,

Na gut, dann lasse ich es so… Mittelfristig wird der Traffic über Blau/WLAN eh noch weiter zunehmen. Dann ist es vielleicht sogar ganz gut, wenn das direkt über die Firewall läuft und nicht großartig andere Teile des Netzwerkes „belastet“.
Viele Grüße,
Michael

WeitDahinten · 29. Juli 2021 um 19:40

Hallo Michael,

zuerst einmal möchte ich sagen, das ich deine Beiträge sehr gut finde; sie zeigen, das du dich mit der Sache auseinander setzt und darüber nachdenkst. Und das finde ich gut - es bereichert das Forum.
Nun zu deiner Frage:
Nachdem ich die Diagramme angeschaut und verglichen habe finde ich keine Unterschiede!
Ich denke, das du das Diagramm V6 falsch interpretierst, weil dort um den Zentralswitch das blaue und orange Netz nicht eingezeichnet sind und im Diagramm V7 sind sie es. Aber in beiden Fällen laufen die Netze über den Zentralswitch in der violetten Verbindung. Man müßte also nur das Diagramm V6 vervollständigen damit man sieht, das beides dieselbe Topologie hat.

Grüße von (inzwischen sehr) WeitDahinten

Michael · 29. Juli 2021 um 20:14

Hi. Danke für die Blumen. Ich frage hier auch deshalb so viel, weil der Austausch in Gold gar nicht zu bezahlen ist…

Der Unterschied in beiden Diagrammen ist aber sehr wohl der, dass der L3 Switch zu v6 Zeiten keine IP Adressen für die nicht-grünen Netze erhalten hat, zu v7 Zeiten aber nun doch! Natürlich kann der Switch trotzdem Traffic über die „violett gefärbte“ Leitung in Form eines getaggten VLANs schicken doch er fungiert für diese Netze imho eben nicht als Router… Oder siehst du das anders?

Viele Grüße
Michael

WeitDahinten · 30. Juli 2021 um 23:05

Hallo Michael,

gut das Du nochmal geantwortet und zum Nachdenken angeregt hast. (Ich bin mir jetzt auch sicher, das wir schon einmal darüber gesprochen haben).
Du hast den Unterschied richtig und treffend beschrieben:
In v7 hat der Switch im blauen Netz eine Adresse; in v6 nicht.
Dieser Unterschied ist rein administrativ (konfiguriert) und ohne operative Auswirkung (gleiche funktionsweise mit und ohne IP-Adresse!).
(Anm: Daher ist es meiner Ansicht nach auch besser in v7 den Switch aus dem blauen Netz zu nehmen, denn da gehört er nicht rein weil er in diesem Netz keine Aufgabe hat.)
Warum hat der Unterschied keine Auswirkung?
Weil der Netzausgang (Gateway) die blaue Schnittstelle der Firewall ist (hier sollen die Daten kontrolliert werden). Alle Knoten im blauen Netz haben als Gateway diese Adresse (oder nicht?). Das blaue Netz soll nicht am Switch geroutet werden sondern auf der Firewall.
Es macht meiner Ansicht nach auch Sinn alle Netze mit Netzausgang auf der Firewall über einen Zentralswitch (als VLAN) zu leiten anstelle für jedes Netz einen eigenen Switch zu verwenden.

Viele Grüße!

Michael · 31. Juli 2021 um 07:37

Hallo.
Ok, dann kann ich ja froh sein, dass wir die Verdrahtung nach dem alten v6 Schema umgesetzt haben . Der Traffic des WLANs („blau“) geht hier direkt über die OPNSense raus. Gleiches gilt für die DMZ („orange“).
Ich werde es so lassen…
Viele Grüße
Michael