7
Konfiguration dynamische VLANs (Layer 2 VLANs)
Realisierung Mac basierende VLANs in einer von Enterasys geswitchtes Netzwerk.
Das Thema VLAN ist recht vielfältig. Meine Frage währe wie man ein dynamisches VLAN anhand der MAC Adresse der jeweiligen Endgeräte im Switch Konfiguriert. Mir ist dabei wichtig, dass die Rechner sobald sie in einen Port gesteckt werden, einen VLAN zugeordnet werden. Ich habe schon recht viel über mögliche Lösungen wie z.B Radius oder IAS gelesen. Das geht jedoch nach meiner Meihnung zu weit in Richtung 802.1x Authentifizierung und hat nicht direkt mit der Zuweisung von MAC zu VLAN (VLAN ID) zu tun.
Zu Zeit verwenden wir Enterasysprodukte der Serie N7 die Modular aufgebaut sind. Die Switches werden dann über einen Konsolenmagement Software Netsight Console anhand SNMP Konfiguriert.
Kann mir jemand dabei weiter helfen?
Falls es doch nur über einen Radius server funktioniert, wie muss ich dabei vorgehen bezüglich Konfiguration usw..?
Thanks to all who answers.
Zu Zeit verwenden wir Enterasysprodukte der Serie N7 die Modular aufgebaut sind. Die Switches werden dann über einen Konsolenmagement Software Netsight Console anhand SNMP Konfiguriert.
Kann mir jemand dabei weiter helfen?
Falls es doch nur über einen Radius server funktioniert, wie muss ich dabei vorgehen bezüglich Konfiguration usw..?
Thanks to all who answers.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 52095
Url: https://administrator.de/contentid/52095
Printed on: April 19, 2024 at 23:04 o'clock
7 Comments
Latest comment
Du bist doch Entensys Kunde !!! Dort gibt es oder muss man besser sagen gab es... doch die Möglichkeit Mac basierende VLANs zu konfigurieren mit der Mangement SW. Entensys hat sich aber auch davon verabschiedet da proprietär und nicht mehr verkaufbar.
Was man heutztage bzw. fast alle Switchhersteller macht ist die MAC Adressen auf einem Radius Server wie z.B. MS IAS oder Freeradius zu hinterlegen. Mit der MAC Adresse übergibst du dann als Radius Parameter das VLAN in das dieser Client soll.
Von der Funktion ist das recht einfach: Der Switch sieht sich das allererste Packet an das vom Client an den geblockten Switchport kommt. Dann erzeugt er einen Radius Request um die MAC Adresse zu authentifizieren. Der Radius antwortet und gibt gleich das VLAN mit zu der diese MAC Adresse gehört und der Switch ordnet dann dynamisch dieses VLAN zu und übernimmt die Adresse in seine CAM Tabelle zum aktiven Forwarding.
Wenn die MAC Adresse unbekannt ist gibt es 2 Möglichkeiten:
1.) Der Switch lässt den Zugriff nicht zu und blockt den Port !
2.) Der Switch schickt dieses Endgerät in eine gesichertes "Quarantäne VLAN".
Eine Freeradius Konfig sieht z.B. so aus:
Was man heutztage bzw. fast alle Switchhersteller macht ist die MAC Adressen auf einem Radius Server wie z.B. MS IAS oder Freeradius zu hinterlegen. Mit der MAC Adresse übergibst du dann als Radius Parameter das VLAN in das dieser Client soll.
Von der Funktion ist das recht einfach: Der Switch sieht sich das allererste Packet an das vom Client an den geblockten Switchport kommt. Dann erzeugt er einen Radius Request um die MAC Adresse zu authentifizieren. Der Radius antwortet und gibt gleich das VLAN mit zu der diese MAC Adresse gehört und der Switch ordnet dann dynamisch dieses VLAN zu und übernimmt die Adresse in seine CAM Tabelle zum aktiven Forwarding.
Wenn die MAC Adresse unbekannt ist gibt es 2 Möglichkeiten:
1.) Der Switch lässt den Zugriff nicht zu und blockt den Port !
2.) Der Switch schickt dieses Endgerät in eine gesichertes "Quarantäne VLAN".
Eine Freeradius Konfig sieht z.B. so aus:
000c0e812e33 Service-Type == Framed-User, User-Password == "000c0e812e33"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7 (-> Das ist die VLAN ID die übergeben wird !)
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 7 (-> Das ist die VLAN ID die übergeben wird !)
Danke für die schnelle Antwort.
OK. Ich bin leider nicht so mit dem Radius bewandert. Was hat es mit dem Tunnel-Type und Tunnel-Medium-Type auf sich? Hast du eine gute Quelle wo mann die nachschlagen könnte?
Danke im Vorraus.
OK. Ich bin leider nicht so mit dem Radius bewandert. Was hat es mit dem Tunnel-Type und Tunnel-Medium-Type auf sich? Hast du eine gute Quelle wo mann die nachschlagen könnte?
Danke im Vorraus.
Die Infos sind sehr gut. Die Authentifizierung über dem Radius - Server funktioniert einwandfrei. Ich habe dazu ein C2H124-48P Switch von enterasys verwendet. Die Konfiguration habe ich nur über die Konsole getätigt, da ich genau wissen möchte was im Switch gestzt wird. Mit Netsight Console zu arbeiten finde ich recht mühsig...
Das Problem ist jedoch, dass das jeweilige Endgerät nicht vom Switch in die richtige VLAN gesetz wird und bleibt immer in dem default VLAN (VID=1). Ich glaube das die Tunnel-Private-Group-Id nicht bekannt ist???
Wie müsste man jetz vorgehen??
Das Problem ist jedoch, dass das jeweilige Endgerät nicht vom Switch in die richtige VLAN gesetz wird und bleibt immer in dem default VLAN (VID=1). Ich glaube das die Tunnel-Private-Group-Id nicht bekannt ist???
Wie müsste man jetz vorgehen??
Dieses VLAN musst du natürlich vorher einrichten und wenigstens den Uplink Port tagged in dieses VLAN hängen. Das VLAN muss also bekannt sein, sonst kann es nicht vergeben werden...das ist klar !!!
Ob die Ports entsprechend im dann zugewiesen VLAN landen kannst du sowohl über die Debug Funktion des Radius Servers sehen. Wenn du z.B. den Freeradius benutzt kannst du den mit radiusd -X starten und er zeigt dir dann detailiert diese Schritte online an. Beim Windows IAS sieht man das im Systemlog.
Der Switch sollte auch ein entsprechndes show und/oder debug Kommando haben (die Mitbewerber von Entensys haben das allesamt...) mit dem du den Prozess detailliert beobachten kannst. Das Handbuch von Entensys sollte das eigentlich beschreiben.
Die Tunnel-Private-Group-Id bezeichnet immer die VLAN ID. Bei manchen Herstellern kann man auch den VLAN namen übergeben wenn die ID in "" steht. Das ist aber herstellerspezifisch !!! Sicherer ist hier immer die ID Nummer anzugeben, denn das ist ein Standard !
Ob die Ports entsprechend im dann zugewiesen VLAN landen kannst du sowohl über die Debug Funktion des Radius Servers sehen. Wenn du z.B. den Freeradius benutzt kannst du den mit radiusd -X starten und er zeigt dir dann detailiert diese Schritte online an. Beim Windows IAS sieht man das im Systemlog.
Der Switch sollte auch ein entsprechndes show und/oder debug Kommando haben (die Mitbewerber von Entensys haben das allesamt...) mit dem du den Prozess detailliert beobachten kannst. Das Handbuch von Entensys sollte das eigentlich beschreiben.
Die Tunnel-Private-Group-Id bezeichnet immer die VLAN ID. Bei manchen Herstellern kann man auch den VLAN namen übergeben wenn die ID in "" steht. Das ist aber herstellerspezifisch !!! Sicherer ist hier immer die ID Nummer anzugeben, denn das ist ein Standard !
Danke für die Tipps. Ich habe jedoch dies alles im vorfeld ausprobiert. Leider ohne Erfolg. Die Debug Messages geben da leider auch keine Anhaltspunke.
Bin für weitere Ideen offen.
Bin für weitere Ideen offen.
Entensys sollte eigentlich wie alle anderen Hersteller auch ein Whitepaper dazu auf deren Webseite haben. Sonst kiebitze bei den anderen (HP, Cisco, Foundry etc.) die haben sowas. Oder ruf den Entensys Techniker in deiner Region an der wird fürstlich dafür bezahlt das er das weiss.....(...bzw. weiss wo die Doku dazu bei denen ist ?!)
