Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Konfiguration dynamische VLANs (Layer 2 VLANs)

Mitglied: TerminatorViper

TerminatorViper (Level 1) - Jetzt verbinden

19.02.2007, aktualisiert 26.02.2007, 10149 Aufrufe, 7 Kommentare

Realisierung Mac basierende VLANs in einer von Enterasys geswitchtes Netzwerk.

Das Thema VLAN ist recht vielfältig. Meine Frage währe wie man ein dynamisches VLAN anhand der MAC Adresse der jeweiligen Endgeräte im Switch Konfiguriert. Mir ist dabei wichtig, dass die Rechner sobald sie in einen Port gesteckt werden, einen VLAN zugeordnet werden. Ich habe schon recht viel über mögliche Lösungen wie z.B Radius oder IAS gelesen. Das geht jedoch nach meiner Meihnung zu weit in Richtung 802.1x Authentifizierung und hat nicht direkt mit der Zuweisung von MAC zu VLAN (VLAN ID) zu tun.

Zu Zeit verwenden wir Enterasysprodukte der Serie N7 die Modular aufgebaut sind. Die Switches werden dann über einen Konsolenmagement Software Netsight Console anhand SNMP Konfiguriert.

Kann mir jemand dabei weiter helfen?
Falls es doch nur über einen Radius server funktioniert, wie muss ich dabei vorgehen bezüglich Konfiguration usw..?

Thanks to all who answers.
Mitglied: aqui
19.02.2007 um 18:00 Uhr
Du bist doch Entensys Kunde !!! Dort gibt es oder muss man besser sagen gab es... doch die Möglichkeit Mac basierende VLANs zu konfigurieren mit der Mangement SW. Entensys hat sich aber auch davon verabschiedet da proprietär und nicht mehr verkaufbar.

Was man heutztage bzw. fast alle Switchhersteller macht ist die MAC Adressen auf einem Radius Server wie z.B. MS IAS oder Freeradius zu hinterlegen. Mit der MAC Adresse übergibst du dann als Radius Parameter das VLAN in das dieser Client soll.
Von der Funktion ist das recht einfach: Der Switch sieht sich das allererste Packet an das vom Client an den geblockten Switchport kommt. Dann erzeugt er einen Radius Request um die MAC Adresse zu authentifizieren. Der Radius antwortet und gibt gleich das VLAN mit zu der diese MAC Adresse gehört und der Switch ordnet dann dynamisch dieses VLAN zu und übernimmt die Adresse in seine CAM Tabelle zum aktiven Forwarding.
Wenn die MAC Adresse unbekannt ist gibt es 2 Möglichkeiten:
1.) Der Switch lässt den Zugriff nicht zu und blockt den Port !
2.) Der Switch schickt dieses Endgerät in eine gesichertes "Quarantäne VLAN".

Eine Freeradius Konfig sieht z.B. so aus:

000c0e812e33 Service-Type == Framed-User, User-Password == "000c0e812e33"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7 (-> Das ist die VLAN ID die übergeben wird !)
Bitte warten ..
Mitglied: TerminatorViper
19.02.2007 um 18:12 Uhr
Danke für die schnelle Antwort.

OK. Ich bin leider nicht so mit dem Radius bewandert. Was hat es mit dem Tunnel-Type und Tunnel-Medium-Type auf sich? Hast du eine gute Quelle wo mann die nachschlagen könnte?

Danke im Vorraus.
Bitte warten ..
Mitglied: TerminatorViper
24.02.2007 um 21:12 Uhr
Die Infos sind sehr gut. Die Authentifizierung über dem Radius - Server funktioniert einwandfrei. Ich habe dazu ein C2H124-48P Switch von enterasys verwendet. Die Konfiguration habe ich nur über die Konsole getätigt, da ich genau wissen möchte was im Switch gestzt wird. Mit Netsight Console zu arbeiten finde ich recht mühsig...
Das Problem ist jedoch, dass das jeweilige Endgerät nicht vom Switch in die richtige VLAN gesetz wird und bleibt immer in dem default VLAN (VID=1). Ich glaube das die Tunnel-Private-Group-Id nicht bekannt ist???

Wie müsste man jetz vorgehen??
Bitte warten ..
Mitglied: aqui
25.02.2007 um 14:38 Uhr
Dieses VLAN musst du natürlich vorher einrichten und wenigstens den Uplink Port tagged in dieses VLAN hängen. Das VLAN muss also bekannt sein, sonst kann es nicht vergeben werden...das ist klar !!!
Ob die Ports entsprechend im dann zugewiesen VLAN landen kannst du sowohl über die Debug Funktion des Radius Servers sehen. Wenn du z.B. den Freeradius benutzt kannst du den mit radiusd -X starten und er zeigt dir dann detailiert diese Schritte online an. Beim Windows IAS sieht man das im Systemlog.
Der Switch sollte auch ein entsprechndes show und/oder debug Kommando haben (die Mitbewerber von Entensys haben das allesamt...) mit dem du den Prozess detailliert beobachten kannst. Das Handbuch von Entensys sollte das eigentlich beschreiben.
Die Tunnel-Private-Group-Id bezeichnet immer die VLAN ID. Bei manchen Herstellern kann man auch den VLAN namen übergeben wenn die ID in "" steht. Das ist aber herstellerspezifisch !!! Sicherer ist hier immer die ID Nummer anzugeben, denn das ist ein Standard !
Bitte warten ..
Mitglied: TerminatorViper
26.02.2007 um 10:30 Uhr
Danke für die Tipps. Ich habe jedoch dies alles im vorfeld ausprobiert. Leider ohne Erfolg. Die Debug Messages geben da leider auch keine Anhaltspunke.

Bin für weitere Ideen offen.
Bitte warten ..
Mitglied: aqui
26.02.2007 um 23:43 Uhr
Entensys sollte eigentlich wie alle anderen Hersteller auch ein Whitepaper dazu auf deren Webseite haben. Sonst kiebitze bei den anderen (HP, Cisco, Foundry etc.) die haben sowas. Oder ruf den Entensys Techniker in deiner Region an der wird fürstlich dafür bezahlt das er das weiss.....(...bzw. weiss wo die Doku dazu bei denen ist ?!)
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
SG300-10 Layer 2 VLAN Problem
gelöst Frage von chulioNetzwerkgrundlagen5 Kommentare

Liebe administrator.de community, Eigentlich hatte ich ein lauffähiges Heimnetzwerk, aber man will ja aufrüsten. Also hab ich mir zwei ...

Netzwerkgrundlagen

2 VLAN auf Layer 3 Switch und 0815 Router

Frage von JejeSwissNetzwerkgrundlagen13 Kommentare

Hallo Zusammen Ich würde gerne ein zweites Gast-Netzwerk auf meinem Layer 3 Switch (Cisco SG300) einrichten. Folgende Voraussetzungen habe ...

LAN, WAN, Wireless

2 VLANs mit Layer 3 Switch und Netgear Router

gelöst Frage von minimi90LAN, WAN, Wireless70 Kommentare

Hallo liebe Wissende. Zum Thema VLANs gibt es hier bei administrator.de schon viele gute Beiträge und Tutorials. Für mein ...

Router & Routing

Layer 2 oder Layer 3 Switch

Frage von coppercableRouter & Routing6 Kommentare

Moin, eine kleine Frage, weils mir einfach nicht klar wird: Wir bekommen mehrere Uplinks, die wir gerne an einen ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 1 TagAusbildung28 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 3 TagenSpeicherkarten3 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 3 TagenSicherheit1 Kommentar

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 4 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Ausbildung
Linux-Ausstieg in Niedersachsen - Windows statt Bugfix
Information von StefanKittelAusbildung25 Kommentare

Sind ja nur Steuergelder

Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware19 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...

Windows 10
Windows 10 Spracherkennung - Eure Meinungen?
Frage von honeybeeWindows 1014 Kommentare

Hallo, wollte heute mal aus Neugier die Spracherkennung unter Windows 10 (Version 1803) ausprobieren und war mehr wie enttäuscht. ...

Windows Server
Zertifikat RemoteDesktop hinterlegen
gelöst Frage von Green14Windows Server12 Kommentare

Hallo zusammen. ich habe mehrere Server (WinSrv 2016). Die Server sind in keiner Domäne und keine Terminalserver. Ich verbinde ...