Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Konfiguration dynamische VLANs (Layer 2 VLANs)

Mitglied: TerminatorViper

TerminatorViper (Level 1) - Jetzt verbinden

19.02.2007, aktualisiert 26.02.2007, 10119 Aufrufe, 7 Kommentare

Realisierung Mac basierende VLANs in einer von Enterasys geswitchtes Netzwerk.

Das Thema VLAN ist recht vielfältig. Meine Frage währe wie man ein dynamisches VLAN anhand der MAC Adresse der jeweiligen Endgeräte im Switch Konfiguriert. Mir ist dabei wichtig, dass die Rechner sobald sie in einen Port gesteckt werden, einen VLAN zugeordnet werden. Ich habe schon recht viel über mögliche Lösungen wie z.B Radius oder IAS gelesen. Das geht jedoch nach meiner Meihnung zu weit in Richtung 802.1x Authentifizierung und hat nicht direkt mit der Zuweisung von MAC zu VLAN (VLAN ID) zu tun.

Zu Zeit verwenden wir Enterasysprodukte der Serie N7 die Modular aufgebaut sind. Die Switches werden dann über einen Konsolenmagement Software Netsight Console anhand SNMP Konfiguriert.

Kann mir jemand dabei weiter helfen?
Falls es doch nur über einen Radius server funktioniert, wie muss ich dabei vorgehen bezüglich Konfiguration usw..?

Thanks to all who answers.
Mitglied: aqui
19.02.2007 um 18:00 Uhr
Du bist doch Entensys Kunde !!! Dort gibt es oder muss man besser sagen gab es... doch die Möglichkeit Mac basierende VLANs zu konfigurieren mit der Mangement SW. Entensys hat sich aber auch davon verabschiedet da proprietär und nicht mehr verkaufbar.

Was man heutztage bzw. fast alle Switchhersteller macht ist die MAC Adressen auf einem Radius Server wie z.B. MS IAS oder Freeradius zu hinterlegen. Mit der MAC Adresse übergibst du dann als Radius Parameter das VLAN in das dieser Client soll.
Von der Funktion ist das recht einfach: Der Switch sieht sich das allererste Packet an das vom Client an den geblockten Switchport kommt. Dann erzeugt er einen Radius Request um die MAC Adresse zu authentifizieren. Der Radius antwortet und gibt gleich das VLAN mit zu der diese MAC Adresse gehört und der Switch ordnet dann dynamisch dieses VLAN zu und übernimmt die Adresse in seine CAM Tabelle zum aktiven Forwarding.
Wenn die MAC Adresse unbekannt ist gibt es 2 Möglichkeiten:
1.) Der Switch lässt den Zugriff nicht zu und blockt den Port !
2.) Der Switch schickt dieses Endgerät in eine gesichertes "Quarantäne VLAN".

Eine Freeradius Konfig sieht z.B. so aus:

000c0e812e33 Service-Type == Framed-User, User-Password == "000c0e812e33"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7 (-> Das ist die VLAN ID die übergeben wird !)
Bitte warten ..
Mitglied: TerminatorViper
19.02.2007 um 18:12 Uhr
Danke für die schnelle Antwort.

OK. Ich bin leider nicht so mit dem Radius bewandert. Was hat es mit dem Tunnel-Type und Tunnel-Medium-Type auf sich? Hast du eine gute Quelle wo mann die nachschlagen könnte?

Danke im Vorraus.
Bitte warten ..
Mitglied: TerminatorViper
24.02.2007 um 21:12 Uhr
Die Infos sind sehr gut. Die Authentifizierung über dem Radius - Server funktioniert einwandfrei. Ich habe dazu ein C2H124-48P Switch von enterasys verwendet. Die Konfiguration habe ich nur über die Konsole getätigt, da ich genau wissen möchte was im Switch gestzt wird. Mit Netsight Console zu arbeiten finde ich recht mühsig...
Das Problem ist jedoch, dass das jeweilige Endgerät nicht vom Switch in die richtige VLAN gesetz wird und bleibt immer in dem default VLAN (VID=1). Ich glaube das die Tunnel-Private-Group-Id nicht bekannt ist???

Wie müsste man jetz vorgehen??
Bitte warten ..
Mitglied: aqui
25.02.2007 um 14:38 Uhr
Dieses VLAN musst du natürlich vorher einrichten und wenigstens den Uplink Port tagged in dieses VLAN hängen. Das VLAN muss also bekannt sein, sonst kann es nicht vergeben werden...das ist klar !!!
Ob die Ports entsprechend im dann zugewiesen VLAN landen kannst du sowohl über die Debug Funktion des Radius Servers sehen. Wenn du z.B. den Freeradius benutzt kannst du den mit radiusd -X starten und er zeigt dir dann detailiert diese Schritte online an. Beim Windows IAS sieht man das im Systemlog.
Der Switch sollte auch ein entsprechndes show und/oder debug Kommando haben (die Mitbewerber von Entensys haben das allesamt...) mit dem du den Prozess detailliert beobachten kannst. Das Handbuch von Entensys sollte das eigentlich beschreiben.
Die Tunnel-Private-Group-Id bezeichnet immer die VLAN ID. Bei manchen Herstellern kann man auch den VLAN namen übergeben wenn die ID in "" steht. Das ist aber herstellerspezifisch !!! Sicherer ist hier immer die ID Nummer anzugeben, denn das ist ein Standard !
Bitte warten ..
Mitglied: TerminatorViper
26.02.2007 um 10:30 Uhr
Danke für die Tipps. Ich habe jedoch dies alles im vorfeld ausprobiert. Leider ohne Erfolg. Die Debug Messages geben da leider auch keine Anhaltspunke.

Bin für weitere Ideen offen.
Bitte warten ..
Mitglied: aqui
26.02.2007 um 23:43 Uhr
Entensys sollte eigentlich wie alle anderen Hersteller auch ein Whitepaper dazu auf deren Webseite haben. Sonst kiebitze bei den anderen (HP, Cisco, Foundry etc.) die haben sowas. Oder ruf den Entensys Techniker in deiner Region an der wird fürstlich dafür bezahlt das er das weiss.....(...bzw. weiss wo die Doku dazu bei denen ist ?!)
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
SG300-10 Layer 2 VLAN Problem
gelöst Frage von chulioNetzwerkgrundlagen5 Kommentare

Liebe administrator.de community, Eigentlich hatte ich ein lauffähiges Heimnetzwerk, aber man will ja aufrüsten. Also hab ich mir zwei ...

Netzwerkgrundlagen

2 VLAN auf Layer 3 Switch und 0815 Router

Frage von JejeSwissNetzwerkgrundlagen13 Kommentare

Hallo Zusammen Ich würde gerne ein zweites Gast-Netzwerk auf meinem Layer 3 Switch (Cisco SG300) einrichten. Folgende Voraussetzungen habe ...

LAN, WAN, Wireless

2 VLANs mit Layer 3 Switch und Netgear Router

gelöst Frage von minimi90LAN, WAN, Wireless70 Kommentare

Hallo liebe Wissende. Zum Thema VLANs gibt es hier bei administrator.de schon viele gute Beiträge und Tutorials. Für mein ...

Router & Routing

Layer 2 oder Layer 3 Switch

Frage von coppercableRouter & Routing6 Kommentare

Moin, eine kleine Frage, weils mir einfach nicht klar wird: Wir bekommen mehrere Uplinks, die wir gerne an einen ...

Neue Wissensbeiträge
Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 6 StundenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 2 TagenDrucker und Scanner3 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 2 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 5 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Heiß diskutierte Inhalte
Microsoft
VPN Verbindung kann nicht aufgebaut werden
Frage von AlexderITlerMicrosoft31 Kommentare

Hallo, Ich möchte an einem unserer PCs in unserer Tochterfirma eine VPN zu unserem Netzwerk einrichten. Das schlägt allerdings ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
gelöst Frage von Marcel1989Datenbanken19 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...

CPU, RAM, Mainboards
Xeon E5620: noch schnell genug?
Frage von ahussainCPU, RAM, Mainboards19 Kommentare

Hallo allerseits, ich habe die Möglichkeit, aus Restbeständen einen Tower mit Xeon E5620 CPU und 24 GB RAM zu ...

Exchange Server
Exchange 2016: Abwesenheitsnotiz für deaktivierten Benutzer
Frage von honeybeeExchange Server13 Kommentare

Hallo, kann man über Regeln eine Abwesenheitsnotiz erstellen, in der darauf hingewiesen wird, dass der Benutzer nicht mehr im ...