Inter-VLAN-Routing ist essenziell für die Kommunikation zwischen verschiedenen Subnetzen innerhalb eines Unternehmensnetzwerks. Allerdings kann unkontrolliertes Routing zwischen VLANs ein Sicherheitsrisiko darstellen, da Angreifer innerhalb des LANs lateral bewegen könnten. Daher sollten Segmentierung und minimale Guardrails implementiert werden, um sowohl Funktionalität als auch Sicherheit zu gewährleisten.
Grundlagen des Inter-VLAN-Routings
Beim Inter-VLAN-Routing werden Layer-3-Geräte, wie Router oder L3-Switches, verwendet, um den Verkehr zwischen VLANs zu vermitteln. Typische Komponenten:
- SVI (Switched Virtual Interface) pro VLAN
- Routing-Tabelle mit Netzwerkrouten für jedes VLAN
- ACLs oder Security Policies zur Kontrolle des Traffic-Flows
Risiken unkontrollierten Inter-VLAN-Routings
- Lateral Movement: Angreifer könnten sich von einem kompromittierten VLAN zu anderen VLANs bewegen
- Fehlkonfiguration: Ein falscher Default-Allow-Ansatz kann zu unerwünschtem Zugriff führen
- Überwachungslücken: Ohne Logging und Monitoring bleiben Anomalien unentdeckt
- Compliance-Verstöße: Interne Richtlinien und regulatorische Anforderungen könnten verletzt werden
Segmentierung und minimale Guardrails
1. ACLs für VLAN-zu-VLAN-Traffic
ACLs ermöglichen eine granulare Kontrolle, welche Hosts oder Subnetze miteinander kommunizieren dürfen.
! Beispiel: VLAN 10 darf nur auf VLAN 20 auf Port 443 zugreifen
ip access-list extended VLAN10_TO_VLAN20
permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 443
deny ip any any
! ACL auf SVI anwenden
interface Vlan10
ip access-group VLAN10_TO_VLAN20 in
2. Minimale Route-Permissivität
Nur explizite Routen erlauben, keine Full-Route-Propagation zwischen VLANs.
- Standardmäßig „deny all“ in ACLs setzen
- Nur notwendige Services explizit erlauben
- SVIs und Routing-Interfaces mit restriktiven Policies versehen
3. Logging und Monitoring
ACL-Hits sollten geloggt und analysiert werden, um verdächtige Aktivitäten zu erkennen.
ip access-list extended VLAN10_TO_VLAN20
permit tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 443 log
deny ip any any logStandardisierte Segmentierungsmuster
- Management-VLANs isolieren von Benutzer- und Server-VLANs
- Server-VLANs nach Funktion trennen (z.B. Web, DB, Application)
- Guest-VLANs strikt auf Internet-Zugang begrenzen
- Inter-VLAN-Firewalls oder L3 ACLs für kritische Segmente
Praxisbeispiele
Webserver-Kommunikation nur auf Applikationsserver
ip access-list extended WEB_TO_APP
permit tcp 192.168.30.0 0.0.0.255 192.168.40.0 0.0.0.255 eq 443
deny ip any any
interface Vlan30
ip access-group WEB_TO_APP inManagement VLAN isolieren
ip access-list extended MGMT_ISOLATION
permit tcp 192.168.50.0 0.0.0.255 192.168.10.1 0.0.0.0 eq 22
deny ip any any
interface Vlan50
ip access-group MGMT_ISOLATION inMonitoring & Audit
show access-lists VLAN10_TO_VLAN20
show access-lists WEB_TO_APP
show ip route
show logging | include VLAN- ACL-Hits auswerten
- Unautorisierte Verbindungsversuche erkennen
- Konfiguration regelmäßig auf Konsistenz prüfen
Best Practices
- ACLs nach Least-Privilege-Prinzip erstellen
- Nur notwendige Inter-VLAN-Kommunikation erlauben
- Logging aktivieren und regelmäßig prüfen
- SVIs und Routing-Interfaces in Security-Reviews einbeziehen
- Regelmäßige Auditierung und Anpassung der Policies
- Dokumentation für Compliance und Troubleshooting führen
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
