Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Konfiguration dynamische VLANs (Layer 2 VLANs)

Frage Netzwerke LAN, WAN, Wireless

Mitglied: TerminatorViper

TerminatorViper (Level 1) - Jetzt verbinden

19.02.2007, aktualisiert 26.02.2007, 9750 Aufrufe, 7 Kommentare

Realisierung Mac basierende VLANs in einer von Enterasys geswitchtes Netzwerk.

Das Thema VLAN ist recht vielfältig. Meine Frage währe wie man ein dynamisches VLAN anhand der MAC Adresse der jeweiligen Endgeräte im Switch Konfiguriert. Mir ist dabei wichtig, dass die Rechner sobald sie in einen Port gesteckt werden, einen VLAN zugeordnet werden. Ich habe schon recht viel über mögliche Lösungen wie z.B Radius oder IAS gelesen. Das geht jedoch nach meiner Meihnung zu weit in Richtung 802.1x Authentifizierung und hat nicht direkt mit der Zuweisung von MAC zu VLAN (VLAN ID) zu tun.

Zu Zeit verwenden wir Enterasysprodukte der Serie N7 die Modular aufgebaut sind. Die Switches werden dann über einen Konsolenmagement Software Netsight Console anhand SNMP Konfiguriert.

Kann mir jemand dabei weiter helfen?
Falls es doch nur über einen Radius server funktioniert, wie muss ich dabei vorgehen bezüglich Konfiguration usw..?

Thanks to all who answers.
Mitglied: aqui
19.02.2007 um 18:00 Uhr
Du bist doch Entensys Kunde !!! Dort gibt es oder muss man besser sagen gab es... doch die Möglichkeit Mac basierende VLANs zu konfigurieren mit der Mangement SW. Entensys hat sich aber auch davon verabschiedet da proprietär und nicht mehr verkaufbar.

Was man heutztage bzw. fast alle Switchhersteller macht ist die MAC Adressen auf einem Radius Server wie z.B. MS IAS oder Freeradius zu hinterlegen. Mit der MAC Adresse übergibst du dann als Radius Parameter das VLAN in das dieser Client soll.
Von der Funktion ist das recht einfach: Der Switch sieht sich das allererste Packet an das vom Client an den geblockten Switchport kommt. Dann erzeugt er einen Radius Request um die MAC Adresse zu authentifizieren. Der Radius antwortet und gibt gleich das VLAN mit zu der diese MAC Adresse gehört und der Switch ordnet dann dynamisch dieses VLAN zu und übernimmt die Adresse in seine CAM Tabelle zum aktiven Forwarding.
Wenn die MAC Adresse unbekannt ist gibt es 2 Möglichkeiten:
1.) Der Switch lässt den Zugriff nicht zu und blockt den Port !
2.) Der Switch schickt dieses Endgerät in eine gesichertes "Quarantäne VLAN".

Eine Freeradius Konfig sieht z.B. so aus:

000c0e812e33 Service-Type == Framed-User, User-Password == "000c0e812e33"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7 (-> Das ist die VLAN ID die übergeben wird !)
Bitte warten ..
Mitglied: TerminatorViper
19.02.2007 um 18:12 Uhr
Danke für die schnelle Antwort.

OK. Ich bin leider nicht so mit dem Radius bewandert. Was hat es mit dem Tunnel-Type und Tunnel-Medium-Type auf sich? Hast du eine gute Quelle wo mann die nachschlagen könnte?

Danke im Vorraus.
Bitte warten ..
Mitglied: TerminatorViper
24.02.2007 um 21:12 Uhr
Die Infos sind sehr gut. Die Authentifizierung über dem Radius - Server funktioniert einwandfrei. Ich habe dazu ein C2H124-48P Switch von enterasys verwendet. Die Konfiguration habe ich nur über die Konsole getätigt, da ich genau wissen möchte was im Switch gestzt wird. Mit Netsight Console zu arbeiten finde ich recht mühsig...
Das Problem ist jedoch, dass das jeweilige Endgerät nicht vom Switch in die richtige VLAN gesetz wird und bleibt immer in dem default VLAN (VID=1). Ich glaube das die Tunnel-Private-Group-Id nicht bekannt ist???

Wie müsste man jetz vorgehen??
Bitte warten ..
Mitglied: aqui
25.02.2007 um 14:38 Uhr
Dieses VLAN musst du natürlich vorher einrichten und wenigstens den Uplink Port tagged in dieses VLAN hängen. Das VLAN muss also bekannt sein, sonst kann es nicht vergeben werden...das ist klar !!!
Ob die Ports entsprechend im dann zugewiesen VLAN landen kannst du sowohl über die Debug Funktion des Radius Servers sehen. Wenn du z.B. den Freeradius benutzt kannst du den mit radiusd -X starten und er zeigt dir dann detailiert diese Schritte online an. Beim Windows IAS sieht man das im Systemlog.
Der Switch sollte auch ein entsprechndes show und/oder debug Kommando haben (die Mitbewerber von Entensys haben das allesamt...) mit dem du den Prozess detailliert beobachten kannst. Das Handbuch von Entensys sollte das eigentlich beschreiben.
Die Tunnel-Private-Group-Id bezeichnet immer die VLAN ID. Bei manchen Herstellern kann man auch den VLAN namen übergeben wenn die ID in "" steht. Das ist aber herstellerspezifisch !!! Sicherer ist hier immer die ID Nummer anzugeben, denn das ist ein Standard !
Bitte warten ..
Mitglied: TerminatorViper
26.02.2007 um 10:30 Uhr
Danke für die Tipps. Ich habe jedoch dies alles im vorfeld ausprobiert. Leider ohne Erfolg. Die Debug Messages geben da leider auch keine Anhaltspunke.

Bin für weitere Ideen offen.
Bitte warten ..
Mitglied: aqui
26.02.2007 um 23:43 Uhr
Entensys sollte eigentlich wie alle anderen Hersteller auch ein Whitepaper dazu auf deren Webseite haben. Sonst kiebitze bei den anderen (HP, Cisco, Foundry etc.) die haben sowas. Oder ruf den Entensys Techniker in deiner Region an der wird fürstlich dafür bezahlt das er das weiss.....(...bzw. weiss wo die Doku dazu bei denen ist ?!)
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
gelöst Konfiguration von Vlans auf Mikrotik 750gr3 (15)

Frage von Uwoerl zum Thema Router & Routing ...

DNS
gelöst DNS Konfiguration für VLANs (18)

Frage von mario87 zum Thema DNS ...

Netzwerke
gelöst Zugriff auf Server von verschiedenen VLANs aus (7)

Frage von Kroeger02 zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...