nico-droste
Goto Top

Computer anhand der Mac-Adresse zu VLAN zuweisen

Hallo,
ich habe hier einen Linksys SRW-2024-Switch, an welchem unserer Server, unsere Workstations, unsere Firewall (IPcop) und unsere Maschinen (wir sind eine Tischlerei) hängen.

Aus Sicherheitsgründen würde ich die Maschinen gerne durch ein VLAN von unserem Server und den Workstation trennen.
Leider hängen die Maschinen nicht direkt am Linksys-Switch, sondern sind noch über einige 'billig-Switches' angeschlossen.
Ein weiteres Problem ist, dass an diesen billig-Switches auch noch ein Rechner hängt, welcher in dem VLAN der Workstations und Server bleiben soll.

Also habe ich mir gedacht, dass ich die Computer anhand von Mac-Adressen und anhand der Ports, an welchen sie angeschlossen sind zu verschiedenen VLANs zuordne.

Da ich bisher wenig Erfahrungen mit VLANs habe und die Dokumentation dieses Switches mehr als dürftig ist, bin ich etwas auf eure Hilfe angewiesen.

Ich würde gerne eine Regel nach diesem Schema anlegen:

alle Computer an allen Ports -> VLAN1
alle Rechner an Port 24 -> VLAN2, Ausnahme wenn mac-adresse=xyz, dann => VLAN1

Im Webinterface habe ich folgende Menüs gefunden, ich weiß aber leider z.T. nicht genau was sie bewirken:
-VLAN-Managemant
-Create VLAN (klar)
-Port Setting (Modeface-sadAccess,General,Trunk) pro Port) ??
-Ports to VLAN Möglichkeitenface-sadAccess,Trunk,General,Tagged,UnTagged,Forbidden,Excluded) ??
-VLAN to Ports ??
-GVRP ?!?!
-ACL
-IP based ACL ?
-MAC based ACL ?
-Security
-ACL Binding?
-....
-Admin
-Dynamic Address?
-Static Address?
-.....

Ich hoffe ihr könnt mir bei meinem Vorhaben etwas weiterhelfen!

Danke und Gruß
Nico

Content-Key: 74382

Url: https://administrator.de/contentid/74382

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: spacyfreak
spacyfreak 24.11.2007 um 20:01:25 Uhr
Goto Top
So ist das nicht zu realisieren.
Ein Switchport ist entweder ein Access Port, und damit EINEM VLAN zugeordnet, oder es ist ein Trunkport, dass gehen über diesen Port viele VLANs. Trunkports braucht man vor allem für die Verbindung zu Uplinkswitches, wenn mehrere VLANs über den Uplink transportiert werden sollen.

Das was du machen willst - dynamisches Zuweisen des VLANs je nach MAC-Adresse - wäre meines Wissns nur über 802.1X in Verbindung mit EAP-over-LAN (EoL) zu realisieren. Dazu brauchst du aber auch eine Radius-Server und Vewaltungs-Datenbank-Infrastruktur.

Durch die Uplink-Billig-Switches wäre jedoch selbst das nicht realisierbar. Die Uplinkswitches haben ja alle Ports in einem VLAN und können wohl garnicht mit verschiedenen VLANs umgehen. Wie sollte das also funktionieren?

Das einfachste bzw. die "gängige" Methode wäre wohl, alle Switches VLAN-fähig zu machen, die Uplinkports zwischen den Switches zu Trunkports zu machen, und je nachdem welcher PC an welchem Switchport hängt, an diesem Switchport das entsprechende VLAN konfigurieren.
Dynamische Zuweisung je nach MAC Adresse ist recht aufwendig und arbeitsintensiv.