12
Eine Netzwerkdose im Wechsel für zwei unterschiedliche Netze
Hallo liebe Admins,
ich habe von einem Kollegen eine kleine Anfrage bezüglich der Nutzung einer wenig genutzen LAN-Dose:
Gegebenes Netzwerk: Modem-> Firewall->CoreRouter mit Radiusserver (hier werden 20 VLAN aufgespannt) ->Trunk zum CoreSwitch ->an Port10 hängt UNTAG das VLAN10 -> LANkabel zur Netzwerkdose -> Client bekommt via DHCP und Radiusserver (MAC-Filter) eine statische IP aus dem 172.16.10.0 /24 Netz
Jetzt der Wunsch des Kollegen:
da der Anschluss (LAN-Dose) wird nur an 1 - 2 Tagen pro Woche genutzt wird möchte besagter Kollege den Anschluss ebenfalls nutzen. Aus Sicherheitsgründen soll er aber nicht in das o.g. Netz. Ich habe mir jetzt folgende Lösung ausgedacht und wollte Euch fragen was Ihr davon haltet.
Im CoreRouter ein weiteres VLAN erstellen (VLAN21 - DHCP 172.16.21.0/24 - ebenfalls via Radius aber OHNE MAC-Filter) und dieses im Trunk an den CoreSwitch leiten. Auch dieses UNTAG an Port 21 zur Verfügung stellen. Jetzt Port 10 und 21 an einen Switch zusammenführen. Die LANDose wird jetzt via Kabel ebenfalls mit dem Switch verbunden.
Erhofftes Ergebnis: der Client der 1-2 mal in der Woche den Anschluss nutzt (mit MAC-Filterung am Radiusserver) bekommt IMMER/NUR seine feste IP aus dem 172.16.10.0/24 Netz. Der o.g. Kollege bekommt ebenfalls eine IP (OHNE MAC-Filterung am Radiusserver) aber NUR/IMMER via DHCP aus dem 172.16.21.0/24 Netz.
Funktioniert das so? Was ist mit dem Broadcast aus den beiden Netzen? Könnte es da Probleme geben?
Freue mich über jede Antwort!
Danke und Gruß
Kartoffelesser
ich habe von einem Kollegen eine kleine Anfrage bezüglich der Nutzung einer wenig genutzen LAN-Dose:
Gegebenes Netzwerk: Modem-> Firewall->CoreRouter mit Radiusserver (hier werden 20 VLAN aufgespannt) ->Trunk zum CoreSwitch ->an Port10 hängt UNTAG das VLAN10 -> LANkabel zur Netzwerkdose -> Client bekommt via DHCP und Radiusserver (MAC-Filter) eine statische IP aus dem 172.16.10.0 /24 Netz
Jetzt der Wunsch des Kollegen:
da der Anschluss (LAN-Dose) wird nur an 1 - 2 Tagen pro Woche genutzt wird möchte besagter Kollege den Anschluss ebenfalls nutzen. Aus Sicherheitsgründen soll er aber nicht in das o.g. Netz. Ich habe mir jetzt folgende Lösung ausgedacht und wollte Euch fragen was Ihr davon haltet.
Im CoreRouter ein weiteres VLAN erstellen (VLAN21 - DHCP 172.16.21.0/24 - ebenfalls via Radius aber OHNE MAC-Filter) und dieses im Trunk an den CoreSwitch leiten. Auch dieses UNTAG an Port 21 zur Verfügung stellen. Jetzt Port 10 und 21 an einen Switch zusammenführen. Die LANDose wird jetzt via Kabel ebenfalls mit dem Switch verbunden.
Erhofftes Ergebnis: der Client der 1-2 mal in der Woche den Anschluss nutzt (mit MAC-Filterung am Radiusserver) bekommt IMMER/NUR seine feste IP aus dem 172.16.10.0/24 Netz. Der o.g. Kollege bekommt ebenfalls eine IP (OHNE MAC-Filterung am Radiusserver) aber NUR/IMMER via DHCP aus dem 172.16.21.0/24 Netz.
Funktioniert das so? Was ist mit dem Broadcast aus den beiden Netzen? Könnte es da Probleme geben?
Freue mich über jede Antwort!
Danke und Gruß
Kartoffelesser
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 349943
Url: https://administrator.de/contentid/349943
Printed on: April 16, 2024 at 14:04 o'clock
12 Comments
Latest comment
Moin,
der einfachste Weg wäre, einen VLAN-fähigen Desktop-Switch an den Port zu hängen und dort zwei VLANs zu konfigurerien, die dann über den Port zum Core-Router tagged weitergeleitet werden.
Du legst dann das eine Netzwerk ganz links auf den Switch und das andere ganz rechts. Dann können die zwei sogar den Port gleichzeitig nutzen.
lks
der einfachste Weg wäre, einen VLAN-fähigen Desktop-Switch an den Port zu hängen und dort zwei VLANs zu konfigurerien, die dann über den Port zum Core-Router tagged weitergeleitet werden.
Du legst dann das eine Netzwerk ganz links auf den Switch und das andere ganz rechts. Dann können die zwei sogar den Port gleichzeitig nutzen.
lks
Wenn auf Gigabit verzichtet werden kann, wenn es überhaupt vorhanden ist, und die Verkabelung es zulässt, mit CableSharing-Adaptern. Erspart einiges an Arbeit und Chaos.
Deine Variante mit dem zusammenführen über einen Switch und beides parallel übertragen wird nicht funktionieren. Der Switch mit der Port Security erwartet ja eine bestimmte SRC-MAC, wenn was falsches kommt, geht der Port auf blocked. Da jetzt aber auch der Router aus dem 21er-Netz mit auf dem Port liegt und der ab und an mal seine ARPs losschickt, sieht er im normalen Betrieb eine andere SRC-MAC und macht zu.
Bei der Variante von lks hab ich auch gewisse Zweifel, da die Port-Security ja unterhalb der VLANs arbeitet und dann bei der Parallelnutzung der Ports ebenfalls dicht macht. Die PortSecurity müsste auf den nachgelagerten Switch verlegt werden.
Deine Variante mit dem zusammenführen über einen Switch und beides parallel übertragen wird nicht funktionieren. Der Switch mit der Port Security erwartet ja eine bestimmte SRC-MAC, wenn was falsches kommt, geht der Port auf blocked. Da jetzt aber auch der Router aus dem 21er-Netz mit auf dem Port liegt und der ab und an mal seine ARPs losschickt, sieht er im normalen Betrieb eine andere SRC-MAC und macht zu.
Bei der Variante von lks hab ich auch gewisse Zweifel, da die Port-Security ja unterhalb der VLANs arbeitet und dann bei der Parallelnutzung der Ports ebenfalls dicht macht. Die PortSecurity müsste auf den nachgelagerten Switch verlegt werden.
Hallo Lochkartenstanzer,
DANKE für die schnelle Antwort!!
Könntest Du das bitte genauer erklären. An welchen Port des CoreSwitchs würdest Du den (neuen) DesktopSwitch anschließen?
Kartoffelesser
DANKE für die schnelle Antwort!!
Könntest Du das bitte genauer erklären. An welchen Port des CoreSwitchs würdest Du den (neuen) DesktopSwitch anschließen?
Kartoffelesser
Hallo tikayevent,
auch Dir DANKE für die schnelle Antwort! Wir haben hier (natürlich) ein Gigabit-Netz. Das mit den Cable Sharing Adapter habe ich mir auch schon überlegt. Das die Geschwindigkeit auf 100 "runter geht" wäre nicht so schlimm. Was mir aber nicht so gefällt, ist die Bauform des Adapters. Gibt es diese eigentlich auch in Form / Aussehen einer Twindoswe?
Kartoffelesser
auch Dir DANKE für die schnelle Antwort! Wir haben hier (natürlich) ein Gigabit-Netz. Das mit den Cable Sharing Adapter habe ich mir auch schon überlegt. Das die Geschwindigkeit auf 100 "runter geht" wäre nicht so schlimm. Was mir aber nicht so gefällt, ist die Bauform des Adapters. Gibt es diese eigentlich auch in Form / Aussehen einer Twindoswe?
Kartoffelesser
Davon bin ich ausgegangen, daß das dann "mitmigriert" wird.
lks
Zitat von @kartoffelesser:
Könntest Du das bitte genauer erklären. An welchen Port des CoreSwitchs würdest Du den (neuen) DesktopSwitch anschließen?
Könntest Du das bitte genauer erklären. An welchen Port des CoreSwitchs würdest Du den (neuen) DesktopSwitch anschließen?
Dort wo der Admin des Coreswitches das sagt. Und nicht vergessen: Wenn Ihr Portsecurity einsetzt, muß der nachgelagerte Switch das mit übernehmen.
lks
@ Lochkartenstanzer,
also im Gegensatz zu tikayevent sagt Du das es funktionieren würde? Vorraussetzung ist aber das die Portsicherheit beachtet wird.
Dies vorrausgesetzt würde das Ganze wie folgt aussehen:
LANDose-> an einen untagged Port am DesktopSwitch. Des weiteren ist hier ein Tagged Port (u.a. für VLANs 10 und 21) mit einem Tagged Port des CoreSwitch verbunden. ZUSÄTZLICH sind auf dem DesktopSwitch noch 2 Port Untagged für die VLANs 10 und 21 "freigeschaltet". Auch diese sind mit dem CoreSwitch (Untagged auf Port 10 und 21) verbunden.
Habe ich das so richtig verstanden?
Kartoffelesser
also im Gegensatz zu tikayevent sagt Du das es funktionieren würde? Vorraussetzung ist aber das die Portsicherheit beachtet wird.
Dies vorrausgesetzt würde das Ganze wie folgt aussehen:
LANDose-> an einen untagged Port am DesktopSwitch. Des weiteren ist hier ein Tagged Port (u.a. für VLANs 10 und 21) mit einem Tagged Port des CoreSwitch verbunden. ZUSÄTZLICH sind auf dem DesktopSwitch noch 2 Port Untagged für die VLANs 10 und 21 "freigeschaltet". Auch diese sind mit dem CoreSwitch (Untagged auf Port 10 und 21) verbunden.
Habe ich das so richtig verstanden?
Kartoffelesser
Hallo Brammer,
toller Switch sogar managebar / VLAN fähig!! Leider ist er meinem Chef sicher zu teuer
Kartoffelesser
toller Switch sogar managebar / VLAN fähig!! Leider ist er meinem Chef sicher zu teuer
Kartoffelesser
Moin,
du hast doch schon nen RADIUS dran - also warum nicht den nutzen? Dein Port bekommt nativ den Port für "alle" (172.16.21.0/24). Der Kollege für 1-2 Tage bekommt nen schönen Eintrag im RADIUS:
"080037xxxxxx" Cleartext-Password := "080037xxxxxx"
Tunnel-Type = VLAN,
Tunnel-Private-Group-ID = 1,
Tunnel-Medium-Type = 6
(deine Private-Group-ID ist dann das geschützte VLAN - 1 wäre hier vermutlich nicht deine Wahl).
So - jetzt setzt du den Port nur noch auf eine Prüfung gegen den RADIUS-Server und dein Problem ist Geschichte... Soweit sich die MAC-Adresse an dem Port meldet wird der Rechner automatisch ins passende VLAN geworfen. Jeder andere geht ins Default-VLAN... (z.B. siehe hier: https://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_8021x/configuration ... )
Vorteil ist das du dich dann auch nicht mehr lange um irgendwelche IPs kümmern musst oder den Port irgendwie physikalisch verändern musst. Ebenfalls ist kein zusätzlicher Switch nötig - sondern es läuft einfach mit vorhandenen Mitteln.
du hast doch schon nen RADIUS dran - also warum nicht den nutzen? Dein Port bekommt nativ den Port für "alle" (172.16.21.0/24). Der Kollege für 1-2 Tage bekommt nen schönen Eintrag im RADIUS:
"080037xxxxxx" Cleartext-Password := "080037xxxxxx"
Tunnel-Type = VLAN,
Tunnel-Private-Group-ID = 1,
Tunnel-Medium-Type = 6
(deine Private-Group-ID ist dann das geschützte VLAN - 1 wäre hier vermutlich nicht deine Wahl).
So - jetzt setzt du den Port nur noch auf eine Prüfung gegen den RADIUS-Server und dein Problem ist Geschichte... Soweit sich die MAC-Adresse an dem Port meldet wird der Rechner automatisch ins passende VLAN geworfen. Jeder andere geht ins Default-VLAN... (z.B. siehe hier: https://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_8021x/configuration ... )
Vorteil ist das du dich dann auch nicht mehr lange um irgendwelche IPs kümmern musst oder den Port irgendwie physikalisch verändern musst. Ebenfalls ist kein zusätzlicher Switch nötig - sondern es läuft einfach mit vorhandenen Mitteln.
Hallo maretz,
ein SUPERTIPP! Danke! Der Radiusserver läuft als FreeRadius PlugIn auf einem Mikrotik RB1100AHx2. Hoffentlich läßt sich die "Auth Fail VLAN" Option bei mir umsetzen.
So, jetzt geht es erstmal mit der Familie zum Wählen!
Gruß Kartoffelesser
ein SUPERTIPP! Danke! Der Radiusserver läuft als FreeRadius PlugIn auf einem Mikrotik RB1100AHx2. Hoffentlich läßt sich die "Auth Fail VLAN" Option bei mir umsetzen.
So, jetzt geht es erstmal mit der Familie zum Wählen!
Gruß Kartoffelesser