VLAN über ASG220

Habe es mit LAG und VLAN Kombo realisiert. Läuft super!

Moin,

bezüglich Ausfallsicherheit würde ich eine zweite Astaro im HA dazunehmen.

Bei den VLANs würde ich nicht alle Ports belegen, sondern nur die VLANs mit hoher Last an einzelne Ports hängen, weniger lastanfällige Bereiche (die nur abgesichert werden müssen), an einem Port zusammen fassen. (Ggf. nur Gleichartige Netze auf einem Port zusammenfassen).

z.B. 
port1: intern
port 2: extern1 (VLAN100), extern2(VLAN101), extern3(VLAN102) (sofern die Leitungen alle klein genug sind)
port3: WLAN1(VLAN200), WLAN2(VLAN201) etc.
port2: management, iSCSI, USV, Vmotion, ...


Sven

Wenn es der Switch hergibt (Layer 3) terminiere die VLANs auf dem Switch. Der ist allemal schneller die einzelnen VLANs untereinander zu routen als eine Firewall.

Zweiter Vorteil wäre eine gewisse Minimierung der IPs welche auf der ASG/UTM aufschlagen. Spart bei der Softwarevariante mächtig Geld ;-)

@GMF 

auf dem Switch wäre das Firewalling zwischen den Netzen aber wesentlich komplizierter.

Die Anzahl der IPs bleibt so oder so gleich, bei der Lizensierung geht es um geschützte IPs und die tauchen auf der Firewall auf sobald sie Zugriff zum Internet haben. Bzw. selbst wenn sie nicht ins Internet sollen, wären es geschützte IPs.

@GMF 

auf dem Switch wäre das Firewalling zwischen den Netzen aber wesentlich komplizierter.

Kommt auf die Sichtweise an. [:P]
Manch einer findet die Konfiguration innerhalb vom Switch sogar einfacher.

Die Anzahl der IPs bleibt so oder so gleich, bei der Lizensierung geht es um geschützte IPs und die tauchen auf der Firewall auf sobald sie Zugriff zum Internet haben. Bzw. selbst wenn sie nicht ins Internet sollen, wären es geschützte IPs.

Nein. Definitiv Nein!
Ich habe hier ein Netz mit ca. 500 Devices. Auf der Firewall schlagen aber nur 60 IPs auf.
Die IPs sind nur aus dem VLAN der ASG, der DMZ und vom WLAN. Alle anderen VLANs sind nicht zu sehen und benötigen somit auch keine Lizenz. Vergessen darf man jedoch nicht, das man die Hardware der ASG/UTM auf die wirklichen IPs auslegen muss.

Nein. Definitiv Nein!
Ich habe hier ein Netz mit ca. 500 Devices. Auf der Firewall schlagen aber nur 60 IPs auf.
Die IPs sind nur aus dem VLAN der ASG, der DMZ und vom WLAN. Alle anderen VLANs sind nicht zu sehen und benötigen somit auch keine Lizenz. Vergessen darf man jedoch nicht, das man die Hardware der ASG/UTM auf die wirklichen IPs auslegen muss.

Sage ich ja, die IPs tauchen nur auf der Firewall auf, wenn ein Paket dieser IP durch die Firewall verarbeitet worden ist.

Trotzdem hast du 500 devices und damit müsstest du eine 500er Software Lizenz kaufen.

Das es auch anders geht oder anders interpretiert werden kann ist klar.

Teste es und du wirst das sehen was ich geschrieben habe.

Alles andere bleiben Vermutungen von dir.

@GMF
Ich vermute gar nichts und habe es schon anders gesehen.

Wenn du 500 interne IPs, sprich Geräte hast, benötigst du auf Grund der Lizenzbestimmungen eine Lizenz über 500 IPs. Dabei ist es egal, ob die IPs von der Firewall gesehen werden oder nicht. 

Sobald eine IP von intern auf ein internes Interface trifft, wird sie auch im Lizenzbereich erfasst. Es sei den sie kommt über ein externes Interface.