arne22 Skrevet 31. mai 2013 Del Skrevet 31. mai 2013 (endret) Hei ! Vi har satt opp en Meraki gateway med flere eksterne IP og et par servere som pr tiden står inne på LAN. Det fungerer, (med dagens trafikk) men noen optimal løsning er det jo ikke. På forespørsel til Meraki så gir de det (foreløpig) litt kryptiske svar at "nei, gatewayen støtter ikke DMZ, men den støtter VLAN som gir noenlunde samme funksjon." Så sender de en link, men når jeg kikker på den så skjønner jeg neimen ikke forskjellen op en VLAN - Virtual LAN og en DMZ. Den virtualle lan ser da ut til å ha sitt eget nettverkssegment og sin egen port, akkurat som en DMZ, så dette må jeg tilstå at jeg ikke skjønner. http://kb.meraki.com...urity-appliance Da jeg leste "teorien om gatewayer og routere" da var det ingen ting som het "VLAN". Er det noen som kjenner til dette og som kan forklare litt ? Endret 31. mai 2013 av arne22 Lenke til kommentar
kjetilkl Skrevet 31. mai 2013 Del Skrevet 31. mai 2013 Har ikke så god greie på oppsett av akkurat VLAN, men det fungerer slik at switchen/whatever legger på en "tag" på alle datapakkene, og deler opp i virtuelle nettverk slik. (Samme tag = samme nettverk) Lenke til kommentar
arne22 Skrevet 1. juni 2013 Forfatter Del Skrevet 1. juni 2013 (endret) For meg så ser det ut som om "effekten av det hele" stort sett blir det samme som for dmz basert på routing/nat/dmz, men forstår egentlig ikke helt ideen bak det hele. Edit: Kan det være slik at hvis en "dmz funksjon" utføres ved hjelp av "vlan teknologi" så oppnås den samme "effekten" på et OSI level 2 nivå (frame) i stedet for et level 3 nivå (pakke).. mon det skulle være slik ??? http://www.cse.wustl..._lans/index.htm Edit 2 .. http://www.webopedia.com/TERM/V/VLAN.html http://en.wikipedia.org/wiki/VLAN Endret 1. juni 2013 av arne22 Lenke til kommentar
walde01 Skrevet 11. juni 2013 Del Skrevet 11. juni 2013 (endret) Edit: Leste ikke helt posten først.. Endret 11. juni 2013 av walde01 Lenke til kommentar
arne22 Skrevet 11. juni 2013 Forfatter Del Skrevet 11. juni 2013 Hvis du har noe så bare sleng på, for jeg har fortsatt ikke helt kontrollen på forskjellen mellom en "reell dmz" og "en dmz funksjon basert på vlan teknologi". Lenke til kommentar
Kakeshoma Skrevet 11. juni 2013 Del Skrevet 11. juni 2013 VLAN - Måte å segmentere LAN. Flere grunner til det, feks opprette en sikker sone eller skille test/dev og prod o.l... DMZ - Ha en sone hvor du setter Internett-rettede servere som sikrer at trafikk inn mot DMZ ikke går videre inn på LANet. Vanlig DMZ sone sier du gjerne bare at "send trafikk adressert til x til y", via VLAN har du skilt det private LANet fra en webserver på VLANet (som eksempel), i brannmuren lager du reglene som sier at det ikke skal gå uønsket trafikk mellom LAN og DMZ VLANet. Så har du 1:1 NATen som sender trafikk til en bestemt IP til en annen. Oppnår det samme som DMZ bare litt flere steg. Da må du konfigurere switchporten på webserver til å stå på VLAN 2. VLAN-innstilingen sier at trafikk som ikke har taget VLAN skal behandles som VLAN 1. Lenke til kommentar
arne22 Skrevet 11. juni 2013 Forfatter Del Skrevet 11. juni 2013 Takker for info .. ... og hvis man "binder opp" det ene vlan1 mot den ene router porten og lan og en annen routerport mot en vlan2 zone som er fyisk koblet opp mot serverne, da oppnår man i praksis den samme "oppdeling i trafikk" som ved bruk av "tradisjonell dmz" kun med den forskjell at "routingen" eller "fordelingen av trafikk" skjer på basis av "påklistrede tagger" i stedet for nettveksnummer og ipadresser .. "Som black box betraktet" så fungerer Meraki son "boks" tilnærmet likt med en router som har dmz, selv om det som skjer inne i boksen rent teknisk skjer på en annen måte .. mon tro om dette er rett forstått ? http://kb.meraki.com/knowledge_base/creating-a-dmz-with-the-mx-security-appliance Noe av det viktige det må vel være at man unngår at uønsket trafikk og "støy" forplanter seg mellom lan og dmz zone, og det oppnår man vel ?? Skulle det være rimelig å tro at en slik løsning gir en noe svakere performace enn en tradisjonell tre port dmz løsning ?? Lenke til kommentar
PoTski Skrevet 28. juni 2013 Del Skrevet 28. juni 2013 DMZ i billig dingser er egentlig et VLAN. Det er et segmentert LAG 2. og ikke bruk VLAN 1 til noe som helst. Dette blir ofte brukt som native vlan. ( untagged frames). Det du kaller tradisjonell dmz er bare tulleball. Lenke til kommentar
conundrum Skrevet 1. juli 2013 Del Skrevet 1. juli 2013 På forespørsel til Meraki så gir de det (foreløpig) litt kryptiske svar at "nei, gatewayen støtter ikke DMZ, men den støtter VLAN som gir noenlunde samme funksjon." Så sender de en link, men når jeg kikker på den så skjønner jeg neimen ikke forskjellen op en VLAN - Virtual LAN og en DMZ. Den virtualle lan ser da ut til å ha sitt eget nettverkssegment og sin egen port, akkurat som en DMZ, så dette må jeg tilstå at jeg ikke skjønner. http://kb.meraki.com...urity-appliance Et VLAN er et LAN-segment som ikke har dedikert maskinvare. Grunnsteinene i VLAN-teknologi er: muligheten til å dele en switch i flere logiske lag 2-nett, og 802.1Q-standarden, som gjør det mulig å sende data hjemmehørende i ulike VLAN over samme fysiske forbindelse Når Meraki sier at deres løsning støtter VLAN, mener de at man kan opprette virtuelle VLAN-grensesnitt i routeren. Data fra og til dette grensesnittet går ut og inn av et annet grensesnitt, men er da merket ("tagget") med VLAN-nummeret til det virtuelle grensesnittet ihht. 802.1Q-standarden. En port som sender og mottar frames med 802.1Q-tags kalles en "trunk port" eller en "tag port", alt ettersom hvilken leverandør du snakker med. Ved å sette opp en slik port på en switch med 802.1Q-støtte, vil denne sende de merkede dataene bare til porter som er medlem av det aktuelle VLAN-et. Dette vises ganske tydelig på tegningen nede på den siste siden du linket til. Altså: Du vil trenge en switch med 802.1Q-støtte for å sette opp en DmZ-sone. Med mindre du har en 5- eller 8-porters switch til 398 kroner fra Clas Ohlson, har du muligens dette allerede. Sett opp en port som VLAN trunk og plugg den inn i LAN-grensesnittet på Meraki-enheten. Velg så et VLAN-nummer mellom 2-4094 (minus 1002-1005 av historiske grunner), og lag et VLAN-grensesnitt med dette nummeret. Meld så noen av switchportene inn i dette VLAN-et, og du har en DmZ-sone. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå