5
Dynamische VLAN Zuordnung mit MS NAP Server im LAN
Hallo zusammen,
wir nutzen einen Microsoft NAP Server (auf Basis des Windows Server 2012) um unseren WLAN Clients den Zugang zum Netzwerk zu genehmigen. Beim WLAN wird die VLAN-ID über die SSID geregelt. Jeder SSID ist eine VLAN-ID zugewiesen, so dass die WLAN Clients automatisch im richtigen VLAN landen.
Nun möchten wir auch unsere Switche mit einbeziehen.
Ich stelle mir das wie folgt vor:
Stecke ich einen unbekannten Client in den Switch, soll dieser nicht blockiert werden, allerdings auch keinem VLAN zugeordnet werden (oder einem bestimmten VLAN - das ist letztendlich egal). Dieses Netz kommt nicht durch unsere Firewall, so dass er darin nicht anstellen kann, aber gesehen wird.
Ist dieser Client aber bekannt, soll er eine bestimmte VLAN ID bekommen. Diese möchte ich falls möglich im Active Directory oder im NAP Server festlegen (Mitarbeiter kommen in ein anderes VLAN, wie z.B. Drucker, Gäste, usw.). Die Erkennung soll nicht nur aufgrund des Computerzertifikats, sondern auch aufgrund der MAC Adresse möglich sein (z.B. für Netzwerkgeräte, die kein Windows haben - z.B. ein Kopierer).
Das wären die Grundanforderungen. Dafür müssten die Switche an den NAP Server angebunden werden (sollte kein Problem sein).
Die häufigsten eingesetzten Switche sind Smart Managed Switche wie z.B. D-Link DGS-1210-48. Beherrschen diese die dynamische VLAN Zuordnung von Ports über 802.1x?
Was muss ich im NAP einstellen und wie bekomme ich es hin, das ich Geräten anhand der MAC Adresse eine VLAN-ID zuteile, die dann im Switch umgesetzt wird?
Wenn jemand ein Link zu einem Howto oder ähnlichem hätte, wäre das natürlich richtig gut.
Vielen Dank und schöne Grüße
Michael Jelinski
wir nutzen einen Microsoft NAP Server (auf Basis des Windows Server 2012) um unseren WLAN Clients den Zugang zum Netzwerk zu genehmigen. Beim WLAN wird die VLAN-ID über die SSID geregelt. Jeder SSID ist eine VLAN-ID zugewiesen, so dass die WLAN Clients automatisch im richtigen VLAN landen.
Nun möchten wir auch unsere Switche mit einbeziehen.
Ich stelle mir das wie folgt vor:
Stecke ich einen unbekannten Client in den Switch, soll dieser nicht blockiert werden, allerdings auch keinem VLAN zugeordnet werden (oder einem bestimmten VLAN - das ist letztendlich egal). Dieses Netz kommt nicht durch unsere Firewall, so dass er darin nicht anstellen kann, aber gesehen wird.
Ist dieser Client aber bekannt, soll er eine bestimmte VLAN ID bekommen. Diese möchte ich falls möglich im Active Directory oder im NAP Server festlegen (Mitarbeiter kommen in ein anderes VLAN, wie z.B. Drucker, Gäste, usw.). Die Erkennung soll nicht nur aufgrund des Computerzertifikats, sondern auch aufgrund der MAC Adresse möglich sein (z.B. für Netzwerkgeräte, die kein Windows haben - z.B. ein Kopierer).
Das wären die Grundanforderungen. Dafür müssten die Switche an den NAP Server angebunden werden (sollte kein Problem sein).
Die häufigsten eingesetzten Switche sind Smart Managed Switche wie z.B. D-Link DGS-1210-48. Beherrschen diese die dynamische VLAN Zuordnung von Ports über 802.1x?
Was muss ich im NAP einstellen und wie bekomme ich es hin, das ich Geräten anhand der MAC Adresse eine VLAN-ID zuteile, die dann im Switch umgesetzt wird?
Wenn jemand ein Link zu einem Howto oder ähnlichem hätte, wäre das natürlich richtig gut.
Vielen Dank und schöne Grüße
Michael Jelinski
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 232642
Url: https://administrator.de/contentid/232642
Printed on: April 25, 2024 at 10:04 o'clock
5 Comments
Latest comment
Moin,
zu dem Thema generell gibt es eine Blogreihe:
NAP 802.1X Configuration Walkthrough – Part 1
NAP 802.1X Configuration Walkthrough – Part 2
NAP 802.1X Configuration Walkthrough – Part 3
Grüße,
Dani
zu dem Thema generell gibt es eine Blogreihe:
NAP 802.1X Configuration Walkthrough – Part 1
NAP 802.1X Configuration Walkthrough – Part 2
NAP 802.1X Configuration Walkthrough – Part 3
Die häufigsten eingesetzten Switche sind Smart Managed Switche wie z.B. D-Link DGS-1210-48. Beherrschen diese die dynamische VLAN Zuordnung von Ports über 802.1x?
Das Produktbuch behauptet, dass es geht, Seite 9.Grüße,
Dani
Hallo,
ergänzend zu @Dani Ihrem Beitrag ist das hier eventuell
auch recht aufschlussreich für Dich. Dynamische VLANs
Gruß
Dobby
ergänzend zu @Dani Ihrem Beitrag ist das hier eventuell
auch recht aufschlussreich für Dich. Dynamische VLANs
Gruß
Dobby
Und Konfigurations Grundlagen zur dynamsichen Zuordnung von VLANs mit .1x findest du auch im hiesigen Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Hallo aqui,
vielen Dank. Diesen Artikel hatte ich bereits gefunden. Das wäre im Grunde genommen auch das was ich suche. Nur leider mit FreeRadius statt dem Microsoft NAP Radius.
Na ja, ich suche mal weiter. Vielleicht finde ich ja noch was brauchbares.
Schöne Grüße
Michael
vielen Dank. Diesen Artikel hatte ich bereits gefunden. Das wäre im Grunde genommen auch das was ich suche. Nur leider mit FreeRadius statt dem Microsoft NAP Radius.
Na ja, ich suche mal weiter. Vielleicht finde ich ja noch was brauchbares.
Schöne Grüße
Michael
Im Internet gibt es dazu tonnenweise Dokumente wenn man Dr. Google nach "vlan zuweisung NPS" z.B. befragt !
http://www.msxfaq.de/verschiedenes/8021x.htm
Das WLAN Schwestertutorial zum obigen hat auch Hinweise auf NPS Setups dazu. Wie immer ist es bei MS ungleich komplizierter trotz Klicki Bunti Oberfläche
http://www.msxfaq.de/verschiedenes/8021x.htm
Das WLAN Schwestertutorial zum obigen hat auch Hinweise auf NPS Setups dazu. Wie immer ist es bei MS ungleich komplizierter trotz Klicki Bunti Oberfläche
