eMilt
24/06/08, 14:32
De afgelopen dagen ben ik met een oplossing voor een probleempje bezig maar ik blijf met een aantal vragen zitten.
Ik heb een tweetal server gehost bij een provider. Ondanks dat deze servers in dezelfde IP range zitten kunnen ze niet met elkaar communiceren. Dit is ongetwijfeld het gevolg van het feit dat de provider iedere poort op de switch in een aparte VLAN heeft geplaatst. Dit zette mij aan het denken hoe je een dergelijke situatie kan voorkomen en er voor kan zorgen dat de servers op de verschillende poorten (VLAN's) toch met elkaar kunnen communiceren met behoud van een optimale beveiliging.
Je kan natuurlijk een layer 3 switch of router gebruiken om het IP verkeer tussen de twee VLAN's te routeren. Maar mooier zou zijn als dit door de firewall wordt gedaan die ook het WAN verkeer filtert. Dan zijn ook alle firewall rules van toepassing op dat inter-VLAN verkeer. Echter, hoe dit in te richten ?
Na veel zoekwerk op internet en het lezen van handleidingen van diverse firewalls zit ik nu volgens mij dicht bij een oplossing maar daarbij is mij toch nog één ding niet duidelijk.
De oplossing omvat een layer 2 switch waarbij iedere poort in een aparte VLAN zit. Eén poort van de switch wordt geconfigureerd als trunk poort waaraan de firewall zit. Deze trunk poort zit in alle VLAN's en alle packets worden voorzien van VLAN tags. Iedere server op een poort (VLAN) kan dus communiceren met de firewall op de trunk poort maar onderlinge communicatie is niet mogelijk.
Een beetje firewall is in staat om verkeer te routeren van de ene VLAN naar de andere VLAN. Maar dan moet het verkeer wel eerst bij de firewall komen. Als server 1 op poort 1 namelijk wil communiceren met server 2 op poort 2 zal het gewoon een ARP request doen voor het MAC adres van server 2. Dit omdat de IP adressen van beide servers in hetzelfde network (subnetmask) zitten.
Mijn vraag is nu reageert de firewall dan op de ARP requests voor het MAC adres van server 2 ? En zo ja, hoe weet de firewall op welke ARP requests het moet reageren ? Analyseert het daarvoor de IP adressen in de firewall rules en reageert het alleen als de firewall rules het verkeer ook toestaan ?
Of werkt routering van de ene naar de andere VLAN alleen als het ook daadwerkelijk verschillende subnetten zijn met de firewall als gateway ?
Ik heb handleidingen van diverse firewalls erop nageslagen maar kan hierop geen antwoord vinden. Ik hoop dat iemand hier me verder kan helpen met deze gedachtenkronkel.
Is het uberhaupt common practice om het zo in te richten of zijn er andere oplossingen mogelijk ?
Ik heb een tweetal server gehost bij een provider. Ondanks dat deze servers in dezelfde IP range zitten kunnen ze niet met elkaar communiceren. Dit is ongetwijfeld het gevolg van het feit dat de provider iedere poort op de switch in een aparte VLAN heeft geplaatst. Dit zette mij aan het denken hoe je een dergelijke situatie kan voorkomen en er voor kan zorgen dat de servers op de verschillende poorten (VLAN's) toch met elkaar kunnen communiceren met behoud van een optimale beveiliging.
Je kan natuurlijk een layer 3 switch of router gebruiken om het IP verkeer tussen de twee VLAN's te routeren. Maar mooier zou zijn als dit door de firewall wordt gedaan die ook het WAN verkeer filtert. Dan zijn ook alle firewall rules van toepassing op dat inter-VLAN verkeer. Echter, hoe dit in te richten ?
Na veel zoekwerk op internet en het lezen van handleidingen van diverse firewalls zit ik nu volgens mij dicht bij een oplossing maar daarbij is mij toch nog één ding niet duidelijk.
De oplossing omvat een layer 2 switch waarbij iedere poort in een aparte VLAN zit. Eén poort van de switch wordt geconfigureerd als trunk poort waaraan de firewall zit. Deze trunk poort zit in alle VLAN's en alle packets worden voorzien van VLAN tags. Iedere server op een poort (VLAN) kan dus communiceren met de firewall op de trunk poort maar onderlinge communicatie is niet mogelijk.
Een beetje firewall is in staat om verkeer te routeren van de ene VLAN naar de andere VLAN. Maar dan moet het verkeer wel eerst bij de firewall komen. Als server 1 op poort 1 namelijk wil communiceren met server 2 op poort 2 zal het gewoon een ARP request doen voor het MAC adres van server 2. Dit omdat de IP adressen van beide servers in hetzelfde network (subnetmask) zitten.
Mijn vraag is nu reageert de firewall dan op de ARP requests voor het MAC adres van server 2 ? En zo ja, hoe weet de firewall op welke ARP requests het moet reageren ? Analyseert het daarvoor de IP adressen in de firewall rules en reageert het alleen als de firewall rules het verkeer ook toestaan ?
Of werkt routering van de ene naar de andere VLAN alleen als het ook daadwerkelijk verschillende subnetten zijn met de firewall als gateway ?
Ik heb handleidingen van diverse firewalls erop nageslagen maar kan hierop geen antwoord vinden. Ik hoop dat iemand hier me verder kan helpen met deze gedachtenkronkel.
Is het uberhaupt common practice om het zo in te richten of zijn er andere oplossingen mogelijk ?