Dies ist ein maschinell übersetzter Text, der Fehler enthalten kann!
Stell dir ein Schulnetzwerk vor, in dem Schüler, Lehrer, Verwaltung und IoT-Geräte (Drucker, Smartboards, Kameras) alle dasselbe Netzwerk nutzen. Theoretisch kann jeder jeden sehen. Das ist weder sicher noch effizient. Die Lösung ist Segmentierung.
Warum segmentieren?
Segmentierung bedeutet, ein Netzwerk in mehrere kleinere Teile aufzuteilen. Jeder Teil ist von den anderen isoliert, sodass der Datenverkehr nicht frei zwischen ihnen fließen kann.
| Vorteil | Erklärung |
|---|---|
| Sicherheit | Eine kompromittierte IoT-Kamera kann die Server nicht erreichen |
| Leistung | Weniger Broadcast-Traffic pro Segment |
| Kontrolle | Unterschiedliche Regeln für verschiedene Benutzergruppen |
| Fehlersuche | Leichtere Isolierung von Problemen auf ein bestimmtes Segment |
Et praktisk eksempel
An einer Schule könnte das Netzwerk wie folgt aussehen:
- VLAN 10: Administration - Gehalt, Personalwesen, Management. Streng eingeschränkter Zugriff.
- VLAN 20: Mitarbeiter - Lehrer und andere Angestellte. Zugriff auf gemeinsame Ordner und Drucker.
- VLAN 30: Schüler - Nur Internetzugang und Lernplattformen.
- VLAN 40: IoT - Drucker, Smartboards, Kameras. Kein Internetzugang (oder sehr eingeschränkt).
- VLAN 50: Server - Interne Server, nicht direkt von anderen VLANs aus erreichbar.
Was ist ein VLAN?
VLAN steht für Virtual Local Area Network. Es ist eine Möglichkeit, mehrere logische Netzwerke auf demselben physischen Switch zu erstellen. Anstatt für jedes Netzwerk einen eigenen Switch zu kaufen, konfigurieren Sie den Switch so, dass er verschiedene Ports (oder Datenverkehr) wie separate Netzwerke behandelt.
Jedes VLAN hat seinen eigenen Adressbereich (Subnetz):
| VLAN | Name | Subnetz | Gateway |
|---|---|---|---|
| 10 | Administration | 10.0.10.0/24 | 10.0.10.1 |
| 20 | Mitarbeiter | 10.0.20.0/24 | 10.0.20.1 |
| 30 | Schüler | 10.0.30.0/24 | 10.0.30.1 |
| 40 | IoT | 10.0.40.0/24 | 10.0.40.1 |
| 50 | Server | 10.0.50.0/24 | 10.0.50.1 |
Subnetting kurz erklärt
/24 bedeutet, dass die ersten 24 Bits der Netzwerkteil der Adresse sind. In der Praxis bedeutet dies, dass Sie 254 verfügbare Adressen (.1 bis .254) in jedem VLAN haben.
10.0.10.0/24liefert Adressen von10.0.10.1bis10.0.10.254- Das Gateway ist in der Regel die erste Adresse (
.1)
Getaggter vs. ungetaggter Datenverkehr
Damit VLANs über mehrere Switches (oder zwischen Switch und Router) funktionieren, wird Tagging verwendet:
| Typ | Erklärung | Verwendung |
|---|---|---|
| Ungetaggt (Access) | Der Port gehört einem VLAN. Das Gerät weiß nichts von VLANs. | PCs, Drucker, Telefone |
| Getaggt (Trunk) | Der Port trägt Datenverkehr von mehreren VLANs, gekennzeichnet mit der VLAN-ID. | Zwischen Switches, zu Routern |
Geräte wie PCs und Drucker müssen nicht wissen, dass sie sich in einem VLAN befinden. Sie werden an einen “Access”-Port angeschlossen, der dem richtigen VLAN zugewiesen ist. Die Verbindung zwischen zwei Switches oder zwischen Switch und Router verwendet einen “Trunk”-Port, der alle VLANs trägt.
Aufgabe 1 - VLAN in der Praxis
Wenn Sie Zugriff auf Unifi oder eine andere Netzwerkmanagementplattform in der Schule haben:
- Sehen Sie sich an, welche VLANs konfiguriert sind
- Welche Ports sind als Access konfiguriert und welche als Trunk?
- Versuchen Sie herauszufinden, mit welchem VLAN Ihr PC verbunden ist (Hinweis: Überprüfen Sie Ihre IP-Adresse und vergleichen Sie sie mit der Subnetz-Tabelle)
Firewall-Regeln zwischen VLANs
Das Erstellen von VLANs ist nur die halbe Miete. Ohne Firewall-Regeln kann der Datenverkehr weiterhin zwischen ihnen über den Router/Gateway fließen. Sie müssen explizit festlegen, was erlaubt ist:
| Von (Quelle) | Nach (Ziel) | Erlaubt? | Begründung |
|---|---|---|---|
| Schüler | Internet | ✅ Ja | Notwendig für den Unterricht |
| Schüler | Server | ❌ Nein | Schüler benötigen keinen Zugriff auf Server |
| Mitarbeiter | Server | ✅ Ja | Dateispeicherung und interne Systeme |
| IoT | Internet | ❌ Nein (oder eingeschränkt) | IoT-Geräte benötigen selten das Internet |
| IoT | Schüler/Mitarbeiter | ❌ Nein | IoT sollte isoliert sein |
| Server | Alle | ✅ Ja (ausgehend) | Server können auf Anfragen antworten |
Standard: blockiere alles, erlaube nur was du benötigst
Eine gute Firewall-Richtlinie beginnt damit, den gesamten Datenverkehr zwischen den VLANs zu blockieren und dann nur das zu öffnen, was benötigt wird. Das ist viel sicherer, als mit allem offen zu beginnen und zu versuchen, das zu blockieren, was du nicht möchtest.
Subnetting
Jedes VLAN benötigt sein eigenes Subnetz. Ein Subnetz definiert den Adressbereich des Netzwerks:
| Subnetz | Netzwerkmaske | Anzahl Adressen | Typische Verwendung |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | Die meisten VLANs |
/25 | 255.255.255.128 | 126 | Kleinere Segmente |
/16 | 255.255.0.0 | 65 534 | Große Netzwerke |
Aufgabe 2 - Berechne ein Subnetz
Verwende einen Online-Subnet-Rechner, z.B. subnet-calculator.com:
- Gib
192.168.1.0mit Maske/24ein. Wie viele Adressen erhältst du? - Was passiert, wenn du auf
/25oder/23änderst? - Was würdest du für eine Klasse mit 30 Schülern wählen?
DHCP pro VLAN
Jedes VLAN benötigt seine eigene DHCP-Konfiguration, damit Geräte die richtige IP-Adresse für ihr Segment erhalten. Dies kann auf dem Router oder einem dedizierten DHCP-Server konfiguriert werden.
Beispiel für das Schüler-VLAN:
| Einstellung | Wert |
|---|---|
| Subnetz | 10.0.30.0/24 |
| Gateway | 10.0.30.1 |
| DHCP-Bereich | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
Zusammenfassung
- Segmentierung teilt das Netzwerk in isolierte Teile zur Sicherheit und Kontrolle
- VLAN sind virtuelle Netzwerke auf demselben physischen Switch
- Access-Ports verbinden Geräte mit einem VLAN, Trunk-Ports tragen mehrere VLANs
- Firewall-Regeln bestimmen, was zwischen den VLANs erlaubt ist
- Jedes VLAN benötigt ein eigenes Subnetz und eine DHCP-Konfiguration
- Ausgangspunkt: Alles blockieren, nur das Notwendige zulassen