LAN Abschotten, HELP :/

[RaZe_]

Hallo zusammn,

Arbeitsbeschrieb
Ich plane auf der Arbeit eine Migration von SRV03 auf SRV08. Um Dies zu testen wird das ganze zuerst in einer Testumgebung gemacht.

Da ich die Produktiven Domänencontroller 1:1 kopiere (auf einen ESX Server), müssen die Netzwerke absolut voneinander getrennt sein und trotzdem brauche ich Internet.

Bisher gemacht
-Domänencontroller virtualisiert auf einem ESX Server.
-VLAN auf ESX Server eingerichtet.

Probleme
-VLAN funktioniert nicht richtig, (NIC ist zwar VLAN tauglich aber es gibt trotzdem Probleme)
-Immer noch kein Internet

Problemlösungen

Es bieten sich 3 Varianten, weiss aber nicht welche am klügsten ist.

Kurz unsere Netzwerktopologie:
Modem=>Firewall=>Switch und hier alles dran

1.Auf einem 2. Port der Firewall eine DMZ einrichten und einen weiteren Switch anbringen

2.An das Modem einen Router anbringen und alles dort anschliessen, inkl. produktive FW

3.Eine 2. Netzwerkkarte für meinen Client (notebook) verbauen. ESX Server + Notebook an weiteren Switch und über die 2. NW im Notebook rooten.

Was würdet ihr vorschlagen?

Danke

 

[iGDark]

hi,

wenn du mit vlan's arbeitest dann kannst du das doch über eine verbindung machen. verwende für deinen ESX-Server einfach VLAN-Tagging. da du sagst, dass es nicht funktioniert, schätze ich das dein Server schon 802.1Q verwendet.

Hast du auf dem Switch, an dem er angeschlossen ist auch VLAN-Tagging eingeschaltet oder ist der Port hier noch in nem Native-VLAN?

Wenn du die Möglichkeit hast, der Firewall ein zweites VLAN auf dem Inbound-Port zu verpassen, kannst du zwischen Switch und Firewall einen Trunk programmieren und schon hast du das produktive und das Testnetz über ein Kabel auf der Firewall. Von hier aus dann ab ins Internet

und du solltest die netze per access-list voneinander abschotten damit der domänencontroller gar nich erst die möglichkeit bekommt etwas zu treiben. es sei denn du verwendest nen layer 2-switch, der würde das nicht routen.

 

[masaeN]

Ansonsten nimm möglichkeit 1. deiner problemlösung ist sicher die schnellste und sauberste ...

 

[RaZe_]

Vlan tagging? sagt mir alles nichts

Zurzeit ist auf dem ESX Server nur ein virtueller switch eingestellt. Und dieser ist wiederum auf den Layer3 Firmenswitch angeschlossen über welchen ich per notebook zugreife.

trunk programmieren sagt mir mal wieder nichts :/
access-list !?

Fensterplatz gehabt oder schlechte lehrer, wahrscheinlich beides

edit: zur zusätzlichen verfügung würde nur ein layer2 switch stehen

 

[iGDark]

liegt vielleicht daran das ich beruflich im netzwerk-bussiness bin *lach*

aber gut, wenn du mit tagging etc. nichts anfangen kannst dann mach lieber aufn 2ten port der fw noch nen switch ran und gut ist. meine lösung wäre dann eher die elegantere gewesen weil du dann auch für die zukunft ein schönes test-netz gehabt hättest.

aber vorschlag 1 tuts auch

 

[Masamune2]

Wie ist denn die vSwitch Konfiguration von deinem ESX Server? Am besten machst du mal Screenshots von der Netzwerkkonfig oder schreibst mal die Ausgabe von esxcfg-vswitch -l und esxcfg-vswif -l hier rein.

Grundsätzlich müsstest du auf dem Switch zwei VLANs einrichten (oder ein VLAN und das normale Netz untagged lassen) und dem ESX diesen beiden VLAN tagged zur Verfügung stellen (bzw. das normale Netz untagged und das abgeschottete Testnetz tagged). Dann hängst du dich mit deinem Laptop in zwei verschiedene Switchports und setzt die beiden Switchports im jeweiligen Netz auf untagged.

Anschließend kannst du von deinem Laptop aus auf beide Netze zugreifen, es gibt aber keine direkte Verbindung zwischen beiden.
Welche Switche nutzt du?

 

[Masamune2]

Wie siehts aus? Hats geklappt?