Erklärung Layer2+ Switching anhand von Netgear GS716Tv3

[Rapsbeere]

Hallo zusammen,

ich suche jemanden, der mir erklären kann, was Layer2+ genau heißen soll. Das OSI-Modell ist mir bekannt und auch habe ich auf diversen Herstellerseiten versucht herauszufinden, was es damit auf sich hat ("ACL-Filter basierend auf MAC- und IP-Adressen" oder "QoS" oder auch "tagged VLANs").
Konkreter Anwendungsfall soll die Nutzung von oben genanntem Switch sein.
Ich möchte an diesem Switch zwei Geräte A (10.0.10.1) und B (10.0.10.2) ins Netz (10.0.0.0/24) hängen, die etwa folgendes dürfen sollen:

Von	Zu	Port	Regel
10.0.10.0/24	10.0.10.0/24	80/TCP 443/TCP 9524/TCP	Allow
10.0.10.0/24	10.0.0.0/8	0-65535/TCP 0-65535/UDP	Allow
10.0.0.0/8	10.0.10.0/24	0-65535/TCP 0-65535/UDP	Allow

Alles Ungenannte wäre dann als "Deny" zu verstehen.

Ich gehe derzeit davon aus, dass Layer2+ genau diese Funktionalität bereitstellt.
Wenn jemand von euch meinen konfusen Aufbau versteht und weiterhelfen kann, freue ich mich auf konstruktive Unterstützung oder auch Rückfragen!

LG

 

[Tornhoof]

Hast du dir das Handbuch mal angeschaut?
Layer2+ ist erstmal primär ein Marketingbegriff, welche Features der Switch von Layer3 oder höher kann, ist produktabhängig.
Im Handbuch: https://www.downloads.netgear.com/files/GDC/GS716TV3/GS716Tv3_GS724Tv4_GS748Tv5_SWA_25Sept2013.pdf
Seite 269 und später sind zumindest mal Beispiele von Layer4 Funktionalität enthalten, also Policies basierend auf UDP/TCP mit Port.

 

[kartoffelpü]

Von	Zu	Port	Regel
10.0.10.0/24	10.0.10.0/24	80/TCP 443/TCP 9524/TCP	Allow

Zur Verteidigung vorab, ich bin kein Netzwerker

Hmm, da bräuchtest du ja mindestens irgendwas L4-fähiges, da du ja nur bestimmte TCP-Ports durchlassen willst. Außerdem Quellnetz = Zielnetz? Oder hast du dich verschrieben?
Dazu wüsste ich nur entsprechend konfigurierte Softwarefirewalls auf allen Kisten in dem Netz.

 

[Masamune2]

Ich möchte an diesem Switch zwei Geräte A (10.0.10.1) und B (10.0.10.2) ins Netz (10.0.0.0/24) hängen

Da hast du dich vertippt oder das wird nicht gehen. 10.0.0.x oder 10.0.10.x, du musst dich schon entscheiden.

Ansonsten wie schon gesagt ist Layer2+ eher ein Marketingbegriff als eine klare Abgrenzung. Der Switch kann wahrscheinlich grundsätzlich nicht routen, beherrscht aber Funktionen die sonst Routern vorbehalten sind.
Mit ACL würde ich aber ungern arbeiten, das sind eher Notlösungen. Die sind nicht Stateful, du musst also auch immer den Rückweg bedenken. Wenn du die Netze entsprechend abschotten willst ist der richtige Ort der Router, dort kannst du dann ganz klassische Firewallregeln definieren.

 

[conf_t]

da bräuchtest du ja mindestens irgendwas L4-fähiges, da du ja nur bestimmte TCP-Ports durchlassen willst.

Exakt, sowas wie ne Firewall..

BTW: Accesslisten sind meist nicht Statefull, daher als FW Ersatz ungeeignet.

L2: Switching
L3: Routing
L4: Firewall, Lastverteiler, Proxy u.ä.

Da reicht ein "getuntes" L2+ Gerät nicht für aus.

 

[Rapsbeere]

Da hast du dich vertippt oder das wird nicht gehen. 10.0.0.x oder 10.0.10.x, du musst dich schon entscheiden.

Absolut vertippt, danke für den Hinweis! gemeint ist das große 10.0.0.0/8 Netz, was auch in der Tabelle auftaucht.

Hast du dir das Handbuch mal angeschaut?
Layer2+ ist erstmal primär ein Marketingbegriff, welche Features der Switch von Layer3 oder höher kann, ist produktabhängig.
Im Handbuch: https://www.downloads.netgear.com/files/GDC/GS716TV3/GS716Tv3_GS724Tv4_GS748Tv5_SWA_25Sept2013.pdf
Seite 269 und später sind zumindest mal Beispiele von Layer4 Funktionalität enthalten, also Policies basierend auf UDP/TCP mit Port.

Ansonsten wie schon gesagt ist Layer2+ eher ein Marketingbegriff als eine klare Abgrenzung. Der Switch kann wahrscheinlich grundsätzlich nicht routen, beherrscht aber Funktionen die sonst Routern vorbehalten sind.

Das dachte ich mir leider auch - Marketingbegriffe für die Vermengung technischer Gegebenheiten sind immer ungünstig.

Ich sehe also richtig, dass alle Antworten mit ner Nutzung von einem Switch zum Abschotten zweier Geräte im Netz nicht einverstanden sind?
Ich war mir sicher, dass ACLs ausreichen würden, um nur Zugriffe von und zu bestimmten Ports zu erlauben.
Über weitere Meinungen würde ich mich freuen und danke bis hier her für eure Einschätzungen und Erfahrung!

 

[conf_t]

Der L2+ Switch wäre Bestandteil für eine solche Lösung, aber nicht die alleinige Lösung. Du musst die Netze ja noch untereinander Routen und statt der ACL eben per FW trennen.
Je nach Firewall kann sie beides Routing und FW oder man trennt es, hat auch was mit der Größe und Skalierbarkeit zu tun. Aber den Übergang zwischen beiden Netzen findest du dort.

 

[TheCadillacMan]

Ansonsten wie schon gesagt ist Layer2+ eher ein Marketingbegriff als eine klare Abgrenzung. Der Switch kann wahrscheinlich grundsätzlich nicht routen, beherrscht aber Funktionen die sonst Routern vorbehalten sind.

Bei vielen Herstellern ist es so, dass Geräte mit L2+ statisches Routing beherrschen (kann der GS716Tv3 auch). Dynamisches Routing (RIP, OSPF etc.) ist dann den vollwertigen L3-Geräten vorbehalten.
Letztendlich muss man aber wirklich immer ins Datenblatt schauen, was L2+ für ein Gerät genau bedeutet.

 

[M-X]

Würde das ganze eher mit einem Router mit/und Firewall lösen. IPv6 wirst du auf kurz oder lang auch mit einplanen müssen.