Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Konfiguration dynamische VLANs (Layer 2 VLANs)

Frage Netzwerke LAN, WAN, Wireless

Mitglied: TerminatorViper

TerminatorViper (Level 1) - Jetzt verbinden

19.02.2007, aktualisiert 26.02.2007, 10009 Aufrufe, 7 Kommentare

Realisierung Mac basierende VLANs in einer von Enterasys geswitchtes Netzwerk.

Das Thema VLAN ist recht vielfältig. Meine Frage währe wie man ein dynamisches VLAN anhand der MAC Adresse der jeweiligen Endgeräte im Switch Konfiguriert. Mir ist dabei wichtig, dass die Rechner sobald sie in einen Port gesteckt werden, einen VLAN zugeordnet werden. Ich habe schon recht viel über mögliche Lösungen wie z.B Radius oder IAS gelesen. Das geht jedoch nach meiner Meihnung zu weit in Richtung 802.1x Authentifizierung und hat nicht direkt mit der Zuweisung von MAC zu VLAN (VLAN ID) zu tun.

Zu Zeit verwenden wir Enterasysprodukte der Serie N7 die Modular aufgebaut sind. Die Switches werden dann über einen Konsolenmagement Software Netsight Console anhand SNMP Konfiguriert.

Kann mir jemand dabei weiter helfen?
Falls es doch nur über einen Radius server funktioniert, wie muss ich dabei vorgehen bezüglich Konfiguration usw..?

Thanks to all who answers.
Mitglied: aqui
19.02.2007 um 18:00 Uhr
Du bist doch Entensys Kunde !!! Dort gibt es oder muss man besser sagen gab es... doch die Möglichkeit Mac basierende VLANs zu konfigurieren mit der Mangement SW. Entensys hat sich aber auch davon verabschiedet da proprietär und nicht mehr verkaufbar.

Was man heutztage bzw. fast alle Switchhersteller macht ist die MAC Adressen auf einem Radius Server wie z.B. MS IAS oder Freeradius zu hinterlegen. Mit der MAC Adresse übergibst du dann als Radius Parameter das VLAN in das dieser Client soll.
Von der Funktion ist das recht einfach: Der Switch sieht sich das allererste Packet an das vom Client an den geblockten Switchport kommt. Dann erzeugt er einen Radius Request um die MAC Adresse zu authentifizieren. Der Radius antwortet und gibt gleich das VLAN mit zu der diese MAC Adresse gehört und der Switch ordnet dann dynamisch dieses VLAN zu und übernimmt die Adresse in seine CAM Tabelle zum aktiven Forwarding.
Wenn die MAC Adresse unbekannt ist gibt es 2 Möglichkeiten:
1.) Der Switch lässt den Zugriff nicht zu und blockt den Port !
2.) Der Switch schickt dieses Endgerät in eine gesichertes "Quarantäne VLAN".

Eine Freeradius Konfig sieht z.B. so aus:

000c0e812e33 Service-Type == Framed-User, User-Password == "000c0e812e33"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7 (-> Das ist die VLAN ID die übergeben wird !)
Bitte warten ..
Mitglied: TerminatorViper
19.02.2007 um 18:12 Uhr
Danke für die schnelle Antwort.

OK. Ich bin leider nicht so mit dem Radius bewandert. Was hat es mit dem Tunnel-Type und Tunnel-Medium-Type auf sich? Hast du eine gute Quelle wo mann die nachschlagen könnte?

Danke im Vorraus.
Bitte warten ..
Mitglied: TerminatorViper
24.02.2007 um 21:12 Uhr
Die Infos sind sehr gut. Die Authentifizierung über dem Radius - Server funktioniert einwandfrei. Ich habe dazu ein C2H124-48P Switch von enterasys verwendet. Die Konfiguration habe ich nur über die Konsole getätigt, da ich genau wissen möchte was im Switch gestzt wird. Mit Netsight Console zu arbeiten finde ich recht mühsig...
Das Problem ist jedoch, dass das jeweilige Endgerät nicht vom Switch in die richtige VLAN gesetz wird und bleibt immer in dem default VLAN (VID=1). Ich glaube das die Tunnel-Private-Group-Id nicht bekannt ist???

Wie müsste man jetz vorgehen??
Bitte warten ..
Mitglied: aqui
25.02.2007 um 14:38 Uhr
Dieses VLAN musst du natürlich vorher einrichten und wenigstens den Uplink Port tagged in dieses VLAN hängen. Das VLAN muss also bekannt sein, sonst kann es nicht vergeben werden...das ist klar !!!
Ob die Ports entsprechend im dann zugewiesen VLAN landen kannst du sowohl über die Debug Funktion des Radius Servers sehen. Wenn du z.B. den Freeradius benutzt kannst du den mit radiusd -X starten und er zeigt dir dann detailiert diese Schritte online an. Beim Windows IAS sieht man das im Systemlog.
Der Switch sollte auch ein entsprechndes show und/oder debug Kommando haben (die Mitbewerber von Entensys haben das allesamt...) mit dem du den Prozess detailliert beobachten kannst. Das Handbuch von Entensys sollte das eigentlich beschreiben.
Die Tunnel-Private-Group-Id bezeichnet immer die VLAN ID. Bei manchen Herstellern kann man auch den VLAN namen übergeben wenn die ID in "" steht. Das ist aber herstellerspezifisch !!! Sicherer ist hier immer die ID Nummer anzugeben, denn das ist ein Standard !
Bitte warten ..
Mitglied: TerminatorViper
26.02.2007 um 10:30 Uhr
Danke für die Tipps. Ich habe jedoch dies alles im vorfeld ausprobiert. Leider ohne Erfolg. Die Debug Messages geben da leider auch keine Anhaltspunke.

Bin für weitere Ideen offen.
Bitte warten ..
Mitglied: aqui
26.02.2007 um 23:43 Uhr
Entensys sollte eigentlich wie alle anderen Hersteller auch ein Whitepaper dazu auf deren Webseite haben. Sonst kiebitze bei den anderen (HP, Cisco, Foundry etc.) die haben sowas. Oder ruf den Entensys Techniker in deiner Region an der wird fürstlich dafür bezahlt das er das weiss.....(...bzw. weiss wo die Doku dazu bei denen ist ?!)
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Cisco SG300-28 Layer 3 Konfiguration VLAN dynamisch
gelöst Frage von MartinLSwitche und Hubs4 Kommentare

Liebe Gemeinde, ich habe eine Frage bezüglich der Konfiguration von VLAN`s auf einem Cisco SG300-28. Ich habe schon viel ...

Netzwerkgrundlagen
2 VLAN auf Layer 3 Switch und 0815 Router
Frage von JejeSwissNetzwerkgrundlagen13 Kommentare

Hallo Zusammen Ich würde gerne ein zweites Gast-Netzwerk auf meinem Layer 3 Switch (Cisco SG300) einrichten. Folgende Voraussetzungen habe ...

LAN, WAN, Wireless
2 VLANs mit Layer 3 Switch und Netgear Router
gelöst Frage von minimi90LAN, WAN, Wireless70 Kommentare

Hallo liebe Wissende. Zum Thema VLANs gibt es hier bei administrator.de schon viele gute Beiträge und Tutorials. Für mein ...

Netzwerkgrundlagen
SG300-10 Layer 2 VLAN Problem
gelöst Frage von chulioNetzwerkgrundlagen5 Kommentare

Liebe administrator.de community, Eigentlich hatte ich ein lauffähiges Heimnetzwerk, aber man will ja aufrüsten. Also hab ich mir zwei ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 104 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell16 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Hardware
Fujitsu Workstation mit K80 und Quadro P5000, Fehlermeldung: Connect Power Adapter
Frage von MachelloHardware7 Kommentare

Hallo Zusammen, ich benötige euren Rat da ich ratlos bin. Folgende Konfiguration im Büro: Fujitsu Workstation Celcius R940 Power ...