Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Verwaltung von MAC-to-VLAN Einträgen

Mitglied: nhlfan

nhlfan (Level 1) - Jetzt verbinden

15.10.2008, aktualisiert 26.10.2008, 4865 Aufrufe, 4 Kommentare

Hallo Zusammen,

wir sind aktuell dabei, das interne Netzwerk neu zu strukturieren.

Als Switchhardware verwenden wir die Dell Powerconnect Serie.

Unser Ziel ist es, mit einem sternförmigen Netzdesign VLANs und MAC-Adressen zentral zu verwalten. Mittels GVRP haben wir es bereits geschafft, dass sich die VLAN-Informationen vom zentralen Layer3-Core an die Memberswitches verbreiten.
Da wir anhand der MAC-Adresse die Systeme dem jeweiligen VLAN zuweisen wollen, liegt die Nutzung der MAC-to-VLAN Funktion nahe.
Diese Mac-Adressen werden allerdings nicht via GVRP übermittelt. Bei Umstellungen oder neuer Hardware wollen wir allerdings nicht jedes Mal jeden Switch anfassen. Da viele unsere PCs und Laptops mobil sind, kommt dieser Vorgang recht häufig vor.
Dies möchten wir gerne an einer Stelle verwalten.
Die mac-based Autentifizierung mittels IAS würde auch bedeuten, dass für jeden Host ein eigenes Userkonto erstellt werden müsste.

Daher folgt nun meine Frage:

Wie kann ich MAC-to-VLAN Informationen in einem non-Cisco Umfeld zentral über das gesamte geswitchte Netz steuern?

Vielen Dank vorab.

Gruß,
Clemens
Mitglied: aqui
15.10.2008 um 19:11 Uhr
Das hat mit Cisco usw. rein gar nichts zu tun. Alle Switchhersteller die derzeit am Markt sind machen die dynamische VLAN Zuordnung mit einem Radius Server ala 802.1x.
Das ist auch bei denen Dell Teilen so, die in Wahrheit Accton Switches aus Taiwan sind, die fast alles Switches aus dem Low Budget Bereich produzieren die von den Marken dann einfach OEMt werden !

Du kommst also um einen Radius Server nicht drum rum !!!

Einige Hersteller supporten auch noch eine statische Zuordnung ueber einen ASCII File der per TFTP auf die Switches kopiert wird aber das macht die Sache noch schlimmer, denn dann muesstest du jeden Switch anfassen wenn sich an der MAC Adressstruktur etwas aendert !!!
Deshalb ist diese Variante technisch so gut wie tot. Jeder macht das wie gesagt ueber Radius. Da gibt es also keine Alternative fuer dich wenn du es ueber die MAC Adresse machen willst.

Eine andere Moeglichkeit ist dann nur 802.1x mit Username Password aus deinem AD sofern du sowas betreibst. Dann wird die VLAN Zuordnung aber nicht geraetebezogen (Mac) sondern benutzerbezogen gemacht, das ist der Unterschied !
Dafuer benoetigst du aber keine zusaetzlichen Usereintraege im AD.
Bitte warten ..
Mitglied: nhlfan
15.10.2008 um 20:47 Uhr
Hallo Aqui,

danke für die Erklärung. Ich habe non Cisco daher erwähnt, da Cisco proprietäre Protokolle wie VTP und VMPS die Funktionen herstellerspezifisch abbildet, was ein cisco homogenes Scenario einfacher verwalten lässt.

Deinen Ausführungen entnehme ich, dass die mac-to-vlan Funktion nicht in Frage kommt, da sie nur pro lokales Gerät greift.

Wir haben heute weiter getestet und festgestellt, dass der Einsatz von GVRP nicht so arbeitet wie erwartet.
Wir haben am zentralen Core die VLANs erstellt und diese habe sich dann an die angeschlossenen Layer2-Switches verbreitet.
Wir konnten diese Vlans an den Memberswitchen allerdings nicht für dynamische Access Ports verwenden.

Beispiel:

Für einen Host haben wir einen mac-to-vlan Eintrag am Swicht A erstellt, in der Erwartung, dass dieser Host dann entsprechend dem VLAN x zugewiesen wird, welches Switch A zuvor via GVRP erhalten hat. Dies war nicht der Fall. Dies war erst dann funktional, als wir das VLAN von "DynamicGVRP" zu "Permanent" umgestellt haben. Das stellt für mich den Sinn des GVRP in Frage.
Begehen wir hier einen Denkfehler?


Gruß
Bitte warten ..
Mitglied: aqui
16.10.2008 um 20:29 Uhr
Erstmal begehst du einen Denkfehler was VTP und VMPS betrifft, denn das hat mit dynamischer VLAN Zuordnung eines Clients nichts zu tun sondern mehr oder weniger zur Verbreitung von VLAN Informationen an sich aber ggf. meintest du das auch so ?!
Das sind also 2 Paar Schuhe zur dynamischen VLAN Zuordnung.

GVRP ist der globale Standard dazu. Normalerweise ist es bei guten Switche voellig egal ob du die VLAN Info per GVRP verteilst oder statisch ein dynamische Zuordnung von VLANs per MAC Adresse funktioniert problemlos in beiden Modi !
Jedenfalls ist das so bei guten Switches. Was auch immer du da verwendest aber das ist entweder ein Bug oder eine fehlende Funktion in den Images dieser Switches.
GVRP ist also mitnichten das Problem sondern die Art und Weise wie dein Hersteller das implementiert hat !!!
Bei billigen Midrange Switches oder OEM Produkten wird das meistens lieblos implementiert und fuehrt zu solchen Ergebnissen !
Du solltest dich also dort mal an den Hersteller wenden und genau nachfragen.
Fast alle Premium Hersteller supporten sowas mit GVRP problemlos, denn die dynamische VLAN Zuordnung entweder per 802.1x oder MAC Adresse ist heutzutage ein weitverbreitetes und oft eingesetztes Feature um die Zugangssicherheit von Netzen zu erhoehen !!
Bitte warten ..
Mitglied: aqui
26.10.2008 um 14:36 Uhr
Wars das jetzt ??
Dann bitte
https://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Cisco SG 300 - MAC to VLAN?
Frage von stv.myrSwitche und Hubs9 Kommentare

Hallo liebe Community, seit einigen Wochen nutzen wir in unseren Netzwerk einen Cisco SG 300-52 Switch. Um Private Computer ...

Router & Routing
VLAN einzelne MAC hinzufügen
Frage von PharITRouter & Routing3 Kommentare

Hallo allerseits, nur eine kurze Frage. Mein VMWare Server zu Hause hat nur einen LAN Port (ist kein echter ...

LAN, WAN, Wireless
Tagged VLAN nach MAC Adresse
gelöst Frage von pelzfruchtLAN, WAN, Wireless5 Kommentare

Hallo, Ich habe mehere Fragen zu einem VLAN (tagged) nach MAC Adressen. Vielleicht erstmal mein (grundlegendes) Netzwerk: So, das ...

Router & Routing
Dynamisches VLAN - MAC Adressen basiert
Frage von salatomRouter & Routing3 Kommentare

Hallo, bin gerade dabei eine VLAN Umgebung mit Mac basierter autentifizierung + Radius Serverzu planen. Somit heisst das ja ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 3 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 8 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 22 StundenSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless21 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...