Firewall-Regeln bei L3-Inter-VLAN-Routing auf Switch

**noexpand** · 4. Oktober 2022

Ich habe eine UDM-P und einen USW-Pro-24 im Einsatz. Letzterer ist ein Switch mit L3-Fähigkeiten und kann zwischen verschiedenen VLANs routen, ohne dass der Traffic zunächst zur UDM-P geschickt und danach wieder zum Switch zurück kommt. Das ist bei mir im Moment zwar nicht der Fall, ich überlege aber, das zu aktivieren.

Ein Beispiel zur Verdeutlichung. Zwei VLANs, A und B mit folgendem Aufbau:

UDM-P

|

USW-Pro

|

|-------- Client A1

|-------- Client A2

|-------- Client B1

A1 und A2 befinden sich im gleichen Netz, jeder Switch (nicht nur L3-fähige) kann Datenverkehre zwischen den beiden Clients regeln. A1 und B1 befinden sich allerdings in unterschiedlichen Netzen. Ohne Inter-VLAN-Routing im L3-fähigen Switch laufen die Datenpakete also von A1 zunächst zum Switch, werden dort über der Default-Route zum Gateway geleitet, in der UDM-P wechseln sie ins VLAN B und gelangen schließlich über den Switch zu B1.

Wenn man im Switch L3-Routing aktiviert, können die Datenpakete sich den Umweg über die UDM-P sparen und der Switch selbst kann vom VLAN A nach VLAN B vermitteln.

Erste Frage: habe ich L3-Routing richtig verstanden?

Zweite Frage: Wie ist das mit irgendwelchen Firewall-Regeln, mit denen man die beiden Netze eventuell voneinander abgesichert hat? Werden die im L3-Switch ebenfalls beachtet? Oder sind Netze, die im L3-Switch geroutet werden, prinzipiell komplett durchlässig?

**gierig** · 4. Oktober 2022

Zitat von noexpand

Erste Frage: habe ich L3-Routing richtig verstanden?

Ich sage mal ja mit einer kleinen Verbesserung:

Zitat von noexpand

Ohne Inter-VLAN-Routing im L3-fähigen Switch laufen die Datenpakete also von A1 zunächst zum Switch, werden dort über der Default-Route zum Gateway geleitet,

Der Switch Switch nur in dem Fall, reines Layer2, hat keine Default route und könnte damit nichts anfangen.

Das Paket will das eigne Netzwerk verlassen und wird daher an das Gateway adressiert das

am besten für das ziel passt (was dann in 99% das default Gateway ist).

Wenn du L3 einschaltest und „Richtig“ einstellst dann ist die Gateway IP auf dem L3 Switch (und nicht mehr auf der UDM)

und wird von da dann halt zum deinem Ziel weitergeleitet oder halt wiederum zu seinem Default Gateway was dann die

dann die UDM ist (über dieses 4040 Vlan)

Zitat von noexpand

Zweite Frage: Wie ist das mit irgendwelchen Firewall-Regeln

Kann ich aus mangeln an L3 Switch nicht sagen. Soweit ich aber gelesen habe...leider keine

ACL / Firewall regeln vorgesehen bisher. Das gibt es nur für dinge die über die UDM gehen. Bei deinem beispiel also

nur noch Internet. VLAN zu VLAN ist dann frei. Was ursprünglich aber auch die Intention von L3 Switches ist.

Per SSH direkt auf den Switch kann man wohl auch ein paar ACL Listen generieren, aber das ist dann

wieder an UNFI system vorbei....

**usr-adm** · 4. Oktober 2022

Zitat von noexpand

Zweite Frage: Wie ist das mit irgendwelchen Firewall-Regeln, mit denen man die beiden Netze eventuell voneinander abgesichert hat? Werden die im L3-Switch ebenfalls beachtet? Oder sind Netze, die im L3-Switch geroutet werden, prinzipiell komplett durchlässig?

Soweit ich weiß und nach kurzem Blick ins UniFi Forum funktioniert das ganze nicht oder nur sehr begrenzt.

Die Frage ist, ob dies im privaten Umfeld überhaupt viel Sinn macht und Dir reelle Vorteile bringt.

Du kannst UDM und USG mit 10G verbinden und ob Du das überhaupt ausgelastet bekommst ich eher unwahrscheinlich (ohne näherer Informationen über Dein Netzwerk und Deine Nutzung).

**noexpand** · 5. Oktober 2022

Zitat von gierig

Soweit ich aber gelesen habe...leider keine
ACL / Firewall regeln vorgesehen bisher. Das gibt es nur für dinge die über die UDM gehen. Bei deinem beispiel also
nur noch Internet. VLAN zu VLAN ist dann frei. Was ursprünglich aber auch die Intention von L3 Switches ist.

Ok. Aber das bedeutet doch, dass man alternativ auch "einfach" seine Netzwerksegmentierung aufheben könnte und alle Clients in ein großes Netz packt. Der einzige Unterschied ist dann doch nur, dass dann der Broadcast-Traffic steigt, oder?

**noexpand** · 5. Oktober 2022

Zitat von usr-adm

Die Frage ist, ob dies im privaten Umfeld überhaupt viel Sinn macht und Dir reelle Vorteile bringt.

Du kannst UDM und USG mit 10G verbinden und ob Du das überhaupt ausgelastet bekommst ich eher unwahrscheinlich (ohne näherer Informationen über Dein Netzwerk und Deine Nutzung).

Ja, sicher. Ich wäre auch nicht davon ausgegangen, dass ich nach der Aktivierung einen "Hui!"-Effekt gehabt hätte.

Das ganze ist ehr so eine "Naja, weil es halt geht"-Geschichte

Und ja: ich habe die UDM-P mit dem USW-Pro per 10G verbunden. Weil's geht

**gierig** · 5. Oktober 2022

Zitat von noexpand

Aber das bedeutet doch, dass man alternativ auch "einfach" seine Netzwerksegmentierung aufheben könnte und alle Clients in ein großes Netz packt. Der einzige Unterschied ist dann doch nur, dass dann der Broadcast-Traffic steigt, oder?

Ja in diesem fall korrekt.

Willkommen! Melden Sie sich an oder registrieren Sie sich.

Firewall-Regeln bei L3-Inter-VLAN-Routing auf Switch

Zum Hilfreichsten Beitrag springen

Tags

3 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 81

Wer war online 0