4
Neuling in dynamischem VLAN und VMPS - Grundlagen gesucht
Suche Grundlagen in Sache dynamisches VLAN und VMPS
Hallo zusammen,
trotz lesen einiger voran gegangener Beiträge ist mir das Thema dynamisches VLAN und VMPS noch nicht ganz klar verständlich.
Hier meine Fragen - hoffentlich kann sie mir jemand möglichst schnell beantworten:
1. Welche Komponenten brauche ich für ein dynamisches VLAN (Hardware, Software, Anmeldeserver?
-mangebare Switche (VLAN Layer2)
-TFTP-Server(?)
-VMPS-Server(?)
2. Welche Vorrausetzungen müssen die Komponenten (Switche, evtl. Router) erfüllen?
-Layer2 switching
-IEEE 8021.1q
-VTP
3. Was genau ist ein VMPS-Server?
-eigener Server, vgl. mit einem DC, Anmeldeserver oder ist er Bestandteil eines Switches
-falls er ein autonomer Server ist, was passiert, wenn man ihn abschaltet - ist dann das dynamische VLAn tot?
4. Was genau ist ein TFTP-Server?
Das wären meine ersten Farge zu diesem Thema. Hoffentliche kann mir jetzt jemand weiterhelfen.
Gruß
H.-Jörg
trotz lesen einiger voran gegangener Beiträge ist mir das Thema dynamisches VLAN und VMPS noch nicht ganz klar verständlich.
Hier meine Fragen - hoffentlich kann sie mir jemand möglichst schnell beantworten:
1. Welche Komponenten brauche ich für ein dynamisches VLAN (Hardware, Software, Anmeldeserver?
-mangebare Switche (VLAN Layer2)
-TFTP-Server(?)
-VMPS-Server(?)
2. Welche Vorrausetzungen müssen die Komponenten (Switche, evtl. Router) erfüllen?
-Layer2 switching
-IEEE 8021.1q
-VTP
3. Was genau ist ein VMPS-Server?
-eigener Server, vgl. mit einem DC, Anmeldeserver oder ist er Bestandteil eines Switches
-falls er ein autonomer Server ist, was passiert, wenn man ihn abschaltet - ist dann das dynamische VLAn tot?
4. Was genau ist ein TFTP-Server?
Das wären meine ersten Farge zu diesem Thema. Hoffentliche kann mir jetzt jemand weiterhelfen.
Gruß
H.-Jörg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 43971
Url: https://administrator.de/contentid/43971
Printed on: April 18, 2024 at 11:04 o'clock
4 Comments
Latest comment
Mal der Reihe nach:
1.)
dynamisches VLAN basiert meist auf 802.1x kann aber auch MAC basierend sein oder eine Kombination von beiden Autentifizierungen. Das wird meist gemacht um ausser der Geräteauthentifizierung (MAC Adresse) auch noch eine benutzerspezifische Authentisierung (802.1x) zu bekommen.
Managebare Switches sind eine zwingende Voraussetzung für sowas !! Ausserdem müssen sie mindestens IEEE 802.1x Support in ihrer Featureliste haben !
TFTP Server brauchst du nicht ! VMPS wird meist nicht verwendet oder ist ein Oberbegriff für den Radius Server der diese Authentisierung letztlich macht ! Hier:
http://de.wikipedia.org/wiki/IEEE_802.1x
stehen ein paar Details dazu.
2.)
Mmmmhhh was wäre ein Switch wenn er nicht im Layer 2 "switchen" würde (..ein Hub)
Spaß beiseite... Ob Layer 2 oder Layer 3 Switch ist nicht relevant, beide supporten solcherlei Port Security. Die bezieht sich auch als Feature nur auf den Port und hat mit dem eigentlichen Switchen (Packetforwarding) gar nichts zu tun. Sowohl L2 als auch L3 Switches, Router und auch WLAN Accesspoints können das supporten inkl. dyn. VLAN Zuweisung.
IEEE 802.1q hat mit dynmaischen VLAN überhaupt nichts zu tun und beschreibt einen Trunking Mechanismus im Ethernet wie VLAN Tags vorne an einen Ethernet Frame gehängt werden damit ein empfangender Switch ihn wieder dem richtigen VLAN zuordnen kann.
Ganz andere Baustelle !!! http://en.wikipedia.org/wiki/IEEE_802.1Q
VTP..... Oha lange Geschichte... hat aber auch nichts mit dem Thema dynamisches VLAN zu tun.
VTP ist ein Cisco PROPRIETÄRES Protokoll um VLAN IDs und VLAN Namen in einem Netzwerk dynamisch bekannt zu machen. Es dient lediglich der Bekanntmachung und nicht dem Zuordnen zu Ports sei es statisch oder dynamisch !
Hat viele Sicherheitsnachteile und NUR Cisco supportet es. Schlau gemacht...Kunden die das nutzen, landen prompt in der "Cisco Falle" und müssen damit dann weitere VTP fähige Geräte kaufen (und damit Cisco ;.) ) damit sie das Feature weiter nutzen können.
Kein anderer Hersteller supported das ! Das offene standardisierte Protokoll heisst GVRP (Global VLAN Registration Protokoll) das supporten auch alle anderen Hersteller. Generell haben diese Protokolle mit deiner Frage aber auch nichts zu tun...auch andere Baustelle !
3.)
Mmmmhhh... VMPS ??? kann ich dir nicht genau sagen...keiner benutzt sowas mit dynamischer VLAN Zuweisung, das macht meist immer ein Radius Server (Freeradius, MS ISA)
4.)
TFTP Server ist ein Fileserver (Trivial File Transfer Protokoll ist das Protokoll was dahinter steht) ist eine Möglichkeit Dateien zu übertragen unter TCP/IP.
TFTP nutzt UDP als Transportprotokol, also eine nicht gesicherte Verbindung im Gegendsatz zu FTP (File Transfer Protocol). FTP ist erheblich zuverlässiger (nutzt TCP als Transportprotokoll) aber nicht so schnell wie TFTP und schwerer zu Implementieren.
TFTP wird hauptsächlich heute genutzt um Images auf PCs (PXE Boot), Diskless Workstations. Router und Switches zu bringen.
1.)
dynamisches VLAN basiert meist auf 802.1x kann aber auch MAC basierend sein oder eine Kombination von beiden Autentifizierungen. Das wird meist gemacht um ausser der Geräteauthentifizierung (MAC Adresse) auch noch eine benutzerspezifische Authentisierung (802.1x) zu bekommen.
Managebare Switches sind eine zwingende Voraussetzung für sowas !! Ausserdem müssen sie mindestens IEEE 802.1x Support in ihrer Featureliste haben !
TFTP Server brauchst du nicht ! VMPS wird meist nicht verwendet oder ist ein Oberbegriff für den Radius Server der diese Authentisierung letztlich macht ! Hier:
http://de.wikipedia.org/wiki/IEEE_802.1x
stehen ein paar Details dazu.
2.)
Mmmmhhh was wäre ein Switch wenn er nicht im Layer 2 "switchen" würde (..ein Hub)
Spaß beiseite... Ob Layer 2 oder Layer 3 Switch ist nicht relevant, beide supporten solcherlei Port Security. Die bezieht sich auch als Feature nur auf den Port und hat mit dem eigentlichen Switchen (Packetforwarding) gar nichts zu tun. Sowohl L2 als auch L3 Switches, Router und auch WLAN Accesspoints können das supporten inkl. dyn. VLAN Zuweisung.
IEEE 802.1q hat mit dynmaischen VLAN überhaupt nichts zu tun und beschreibt einen Trunking Mechanismus im Ethernet wie VLAN Tags vorne an einen Ethernet Frame gehängt werden damit ein empfangender Switch ihn wieder dem richtigen VLAN zuordnen kann.
Ganz andere Baustelle !!! http://en.wikipedia.org/wiki/IEEE_802.1Q
VTP..... Oha lange Geschichte... hat aber auch nichts mit dem Thema dynamisches VLAN zu tun.
VTP ist ein Cisco PROPRIETÄRES Protokoll um VLAN IDs und VLAN Namen in einem Netzwerk dynamisch bekannt zu machen. Es dient lediglich der Bekanntmachung und nicht dem Zuordnen zu Ports sei es statisch oder dynamisch !
Hat viele Sicherheitsnachteile und NUR Cisco supportet es. Schlau gemacht...Kunden die das nutzen, landen prompt in der "Cisco Falle" und müssen damit dann weitere VTP fähige Geräte kaufen (und damit Cisco ;.) ) damit sie das Feature weiter nutzen können.
Kein anderer Hersteller supported das ! Das offene standardisierte Protokoll heisst GVRP (Global VLAN Registration Protokoll) das supporten auch alle anderen Hersteller. Generell haben diese Protokolle mit deiner Frage aber auch nichts zu tun...auch andere Baustelle !
3.)
Mmmmhhh... VMPS ??? kann ich dir nicht genau sagen...keiner benutzt sowas mit dynamischer VLAN Zuweisung, das macht meist immer ein Radius Server (Freeradius, MS ISA)
4.)
TFTP Server ist ein Fileserver (Trivial File Transfer Protokoll ist das Protokoll was dahinter steht) ist eine Möglichkeit Dateien zu übertragen unter TCP/IP.
TFTP nutzt UDP als Transportprotokol, also eine nicht gesicherte Verbindung im Gegendsatz zu FTP (File Transfer Protocol). FTP ist erheblich zuverlässiger (nutzt TCP als Transportprotokoll) aber nicht so schnell wie TFTP und schwerer zu Implementieren.
TFTP wird hauptsächlich heute genutzt um Images auf PCs (PXE Boot), Diskless Workstations. Router und Switches zu bringen.
Hallo aqui,
vielen Dank erstmal für Deine ausführliche Antwort.
Meine ungefähre Aufgabe ist es ein Konzept für ein dynamisches VLAN, MAC basierend, zu entwickeln. Es handelt sich um eine größeres Netzwerk mit verschiden IP-Adressbereichen und Teilnehmern, die nur auf Ethernet-Ebene kommunizieren. Und genau dies stellt derzeit das Problem dar. Die Software, welche die Teilnehmer auf Ethernet-Ebene konfiguriert/steuert setzt sich nämlich über die IP-Adressbereiche hinweg. D.h. es werden vom PC aus alle Teilnhmer gesehen, egal welchen IP-Adressbereich sie haben.
So kam mir die Idee dort ein dynamische VLAN einzusetzen indem ich nun alle vorhandenen Teilnehmer im LAN zu diversen Gruppen zusammenfassen kann.
Soweit die ungefähre Aufgabenstellung.
TFTP Server brauchst du nicht ! VMPS wird
meist nicht verwendet oder ist ein
Oberbegriff für den Radius Server der
diese Authentisierung letztlich macht !
Hier:
http://de.wikipedia.org/wiki/IEEE_802.1x
stehen ein paar Details dazu.
Was ist aber, wenn ich mehrer Switche habe und diese konfigurieren möchte, bzw. eine Konfiguration/Filterregeln einspielen möchte?
VTP..... Oha lange Geschichte... hat aber
auch nichts mit dem Thema dynamisches VLAN zu
tun.
VTP ist ein Cisco PROPRIETÄRES
Protokoll um VLAN IDs und VLAN Namen in einem
Netzwerk dynamisch bekannt zu machen. Es
dient lediglich der Bekanntmachung und nicht
dem Zuordnen zu Ports sei es statisch oder
dynamisch !
Hat viele Sicherheitsnachteile und NUR Cisco
supportet es. Schlau gemacht...Kunden die das
nutzen, landen prompt in der "Cisco
Falle" und müssen damit dann
weitere VTP fähige Geräte kaufen
(und damit Cisco ;.) ) damit sie das Feature
weiter nutzen können.
Kein anderer Hersteller supported das ! Das
offene standardisierte Protokoll heisst GVRP
(Global VLAN Registration Protokoll) das
supporten auch alle anderen Hersteller.
Generell haben diese Protokolle mit deiner
Frage aber auch nichts zu tun...auch andere
Baustelle !
Danke! Danach habe ich gesucht.
siehe auch http://de.wikipedia.org/wiki/VMPS
Es ist also auch wieder etwas Cisco spezifisches.
Neue Frage:
Wie legen ich nun die Regeln fest, wer mit wem kommunizieren darf - natürlich MAC basierend?
vielen Dank erstmal für Deine ausführliche Antwort.
Meine ungefähre Aufgabe ist es ein Konzept für ein dynamisches VLAN, MAC basierend, zu entwickeln. Es handelt sich um eine größeres Netzwerk mit verschiden IP-Adressbereichen und Teilnehmern, die nur auf Ethernet-Ebene kommunizieren. Und genau dies stellt derzeit das Problem dar. Die Software, welche die Teilnehmer auf Ethernet-Ebene konfiguriert/steuert setzt sich nämlich über die IP-Adressbereiche hinweg. D.h. es werden vom PC aus alle Teilnhmer gesehen, egal welchen IP-Adressbereich sie haben.
So kam mir die Idee dort ein dynamische VLAN einzusetzen indem ich nun alle vorhandenen Teilnehmer im LAN zu diversen Gruppen zusammenfassen kann.
Soweit die ungefähre Aufgabenstellung.
TFTP Server brauchst du nicht ! VMPS wird
meist nicht verwendet oder ist ein
Oberbegriff für den Radius Server der
diese Authentisierung letztlich macht !
Hier:
http://de.wikipedia.org/wiki/IEEE_802.1x
stehen ein paar Details dazu.
VTP..... Oha lange Geschichte... hat aber
auch nichts mit dem Thema dynamisches VLAN zu
tun.
VTP ist ein Cisco PROPRIETÄRES
Protokoll um VLAN IDs und VLAN Namen in einem
Netzwerk dynamisch bekannt zu machen. Es
dient lediglich der Bekanntmachung und nicht
dem Zuordnen zu Ports sei es statisch oder
dynamisch !
Hat viele Sicherheitsnachteile und NUR Cisco
supportet es. Schlau gemacht...Kunden die das
nutzen, landen prompt in der "Cisco
Falle" und müssen damit dann
weitere VTP fähige Geräte kaufen
(und damit Cisco ;.) ) damit sie das Feature
weiter nutzen können.
Kein anderer Hersteller supported das ! Das
offene standardisierte Protokoll heisst GVRP
(Global VLAN Registration Protokoll) das
supporten auch alle anderen Hersteller.
Generell haben diese Protokolle mit deiner
Frage aber auch nichts zu tun...auch andere
Baustelle !
3.)
Mmmmhhh... VMPS ??? kann ich dir nicht genau
sagen...keiner benutzt sowas mit dynamischer
VLAN Zuweisung, das macht meist immer ein
Radius Server (Freeradius, MS ISA)
VMPS = VLAN Management Policy ServerMmmmhhh... VMPS ??? kann ich dir nicht genau
sagen...keiner benutzt sowas mit dynamischer
VLAN Zuweisung, das macht meist immer ein
Radius Server (Freeradius, MS ISA)
siehe auch http://de.wikipedia.org/wiki/VMPS
Es ist also auch wieder etwas Cisco spezifisches.
Neue Frage:
Wie legen ich nun die Regeln fest, wer mit wem kommunizieren darf - natürlich MAC basierend?
Ein MAC basierendes VLAN einzurichten ist eigentlich ganz einfach. Einfacher wenigstens im Hinblick auf den Authentisierungsserver als eine IEEE 802.1x basierende Portkontrolle.
Das Problem ist, das unterschiedliche Verfahren der Switchhersteller derzeit am Markt sind und es derzeit keinen Standard gibt.
Ein Hersteller hat ein automatisches Verfahren was sehr gut ist aber eine teure Mangement Software erfordert. Nachteil: Sie ist proprietär, funktioniert nur auf deren Produkten und ist nicht kompatibel. Nichtmal mehr unter den alten und neuen Komponenten dieses Herstellers. Bei Anderen gabs so ein Feature gar nicht oder man musste lange MAC Listen per TFTP auf jede Maschine im Netz übertragen. Das ist nicht mangebar über die Zeit und skaliert nicht weil einfach der Administrationsaufwand unendlich hoch ist und das verfahren zu umständlich und nicht Nutzer freundlich.
Heute geht man mehrheitlich unter den Herstellern dazu über das auch wie bei 802.1x zentral über einen Radius Server zu lösen.
Auf diesem verwaltest du dann zentral deine MAC Adressen und auch die VLANs zu dem diese Adressen gehören sollen. Die Switch Konfiguration ist dann recht einfach, denn man konfiguriert auf den Zugangsports einfach nur das man den nicht offen betreiben will sondern mit dem Kontrollverfahren das die MACs überprüft und ein dynamisches VLAN zuweist.
Das ist ein Kommando auf dem Switch und sehr einfach zu konfigurieren.
Was der Switch nun macht ist folgendes:
Kommt ein Packet prüft er die MAC Absenderadresse und forwardet diese mit einer Radius Abfrage an den Radius Server. Dieser wiederum prüft in seiner Datenbank ob es eine erlaubte Adresse ist oder nicht.
Ist sie nicht erlaubt, bleibt der PC aussen vor und kommt nicht ins Netz weil der Switch den Port blockt.
Viele Administratoren wollen aber oft solche rüde Methode nicht weil sie auch mal Gäste mit unbekannten MAC Adressen am Netz haben. In so einem Fall kann man ein sog. Quarantäne VLAN generieren in dem diese Geräte dann landen z.B. mit eingeschränkten Möglichkeiten oder z.B. einem Web Hinweis das man nicht autorisiert ist.
Gibt der Radius Server grünes Licht und ist diese MAC Adresse erlaubt wird dem Endgerät an diesem Port ein entsprechedes VLAN dynamisch vom Radius Server zugewiesen über den Switch und dieses Endgerät landet in seinem für die MAC vorgesehenen VLAN.
Viele Hersteller erlauben außerdem zusätzlich auch noch eine dynamische Access Liste die dann dieser MAC Adresse zugewiesen werden kann um nur bestimmte Verbindungen für diese Maschine zu erlauben !
Ein sehr einfaches Konzept und einfach und zentral zu verwalten. Als Radius Server bietet sich der Microsoft IAS an der bei jeder Server SW mit dabei ist, eine der zahllosen Radius Server SW (Steelbelted, Funk etc) oder eben ein gänzlich freies Produkt wie der Open Source Freeradius Server (www.freeradius.org)
Das Problem ist, das unterschiedliche Verfahren der Switchhersteller derzeit am Markt sind und es derzeit keinen Standard gibt.
Ein Hersteller hat ein automatisches Verfahren was sehr gut ist aber eine teure Mangement Software erfordert. Nachteil: Sie ist proprietär, funktioniert nur auf deren Produkten und ist nicht kompatibel. Nichtmal mehr unter den alten und neuen Komponenten dieses Herstellers. Bei Anderen gabs so ein Feature gar nicht oder man musste lange MAC Listen per TFTP auf jede Maschine im Netz übertragen. Das ist nicht mangebar über die Zeit und skaliert nicht weil einfach der Administrationsaufwand unendlich hoch ist und das verfahren zu umständlich und nicht Nutzer freundlich.
Heute geht man mehrheitlich unter den Herstellern dazu über das auch wie bei 802.1x zentral über einen Radius Server zu lösen.
Auf diesem verwaltest du dann zentral deine MAC Adressen und auch die VLANs zu dem diese Adressen gehören sollen. Die Switch Konfiguration ist dann recht einfach, denn man konfiguriert auf den Zugangsports einfach nur das man den nicht offen betreiben will sondern mit dem Kontrollverfahren das die MACs überprüft und ein dynamisches VLAN zuweist.
Das ist ein Kommando auf dem Switch und sehr einfach zu konfigurieren.
Was der Switch nun macht ist folgendes:
Kommt ein Packet prüft er die MAC Absenderadresse und forwardet diese mit einer Radius Abfrage an den Radius Server. Dieser wiederum prüft in seiner Datenbank ob es eine erlaubte Adresse ist oder nicht.
Ist sie nicht erlaubt, bleibt der PC aussen vor und kommt nicht ins Netz weil der Switch den Port blockt.
Viele Administratoren wollen aber oft solche rüde Methode nicht weil sie auch mal Gäste mit unbekannten MAC Adressen am Netz haben. In so einem Fall kann man ein sog. Quarantäne VLAN generieren in dem diese Geräte dann landen z.B. mit eingeschränkten Möglichkeiten oder z.B. einem Web Hinweis das man nicht autorisiert ist.
Gibt der Radius Server grünes Licht und ist diese MAC Adresse erlaubt wird dem Endgerät an diesem Port ein entsprechedes VLAN dynamisch vom Radius Server zugewiesen über den Switch und dieses Endgerät landet in seinem für die MAC vorgesehenen VLAN.
Viele Hersteller erlauben außerdem zusätzlich auch noch eine dynamische Access Liste die dann dieser MAC Adresse zugewiesen werden kann um nur bestimmte Verbindungen für diese Maschine zu erlauben !
Ein sehr einfaches Konzept und einfach und zentral zu verwalten. Als Radius Server bietet sich der Microsoft IAS an der bei jeder Server SW mit dabei ist, eine der zahllosen Radius Server SW (Steelbelted, Funk etc) oder eben ein gänzlich freies Produkt wie der Open Source Freeradius Server (www.freeradius.org)
Danke aqui. Ich glaube, Dein Beitrag hat mich wieder eine gnazes Stück weitergebracht.
