3
V-LAN die Verwaltung und Überwachung
Umstellung einer Flachen Netzwerkstruktur auf V-LANs zur erhöhung der Sicherheit
Folgendes Scenario:
Vorhanden ist ein Netzwerk mit ca. 2500 Endgeräten (PC, Drucker, Maschinen usw.) Dies soll in diverse V-LANs unterteilt werden. (Bin gerade mitten in der Umstellungsphase. Dabei wird auch Zeitgleich Portsecurity eingeführt. Dies bedeutet dass ein Radius Server beim AD nachprüft ob das Gerät / User vorhanden ist oder nicht und weißt Ihm dann das entsprechende V-LAN zu oder sperrt den Port.
Soweit so gut
Für mich und meine Kollegen in der EDV werden dadurch einige Sachen leichter andere schwerer
Allerdings funktioniert dadurch unsere Überwachungsprogramme nicht mehr. Hierbei handelt es sich um die Programme Gifi LanGuard Network Security Scanner, Wireshark und Wild Packets OmniPeak.
Ist es nun möglich dem V-LAN der EDV die entsprechende Rechte zu geben dass der Zugriff für Wartung und Fehlerbehebung in den anderen V-LANs funktioniert?
Es werden zum Beispiel das Netbios Protokoll nicht mit geroutet, kann man dies für einzelne V-LANs aktivieren oder stellt das Grundsätzlich ein Problem dar.
Netzwerk Hardware sind Cisco 3560G; Enterasys E1 und C2, Cisco ACS Radius.
Vielleicht hat ja jemand so etwas schon umgesetzt und kann mir mit seinen Erfahrungen etwas unter die Arme greifen.
Vorhanden ist ein Netzwerk mit ca. 2500 Endgeräten (PC, Drucker, Maschinen usw.) Dies soll in diverse V-LANs unterteilt werden. (Bin gerade mitten in der Umstellungsphase. Dabei wird auch Zeitgleich Portsecurity eingeführt. Dies bedeutet dass ein Radius Server beim AD nachprüft ob das Gerät / User vorhanden ist oder nicht und weißt Ihm dann das entsprechende V-LAN zu oder sperrt den Port.
Soweit so gut
Für mich und meine Kollegen in der EDV werden dadurch einige Sachen leichter andere schwerer
Allerdings funktioniert dadurch unsere Überwachungsprogramme nicht mehr. Hierbei handelt es sich um die Programme Gifi LanGuard Network Security Scanner, Wireshark und Wild Packets OmniPeak.
Ist es nun möglich dem V-LAN der EDV die entsprechende Rechte zu geben dass der Zugriff für Wartung und Fehlerbehebung in den anderen V-LANs funktioniert?
Es werden zum Beispiel das Netbios Protokoll nicht mit geroutet, kann man dies für einzelne V-LANs aktivieren oder stellt das Grundsätzlich ein Problem dar.
Netzwerk Hardware sind Cisco 3560G; Enterasys E1 und C2, Cisco ACS Radius.
Vielleicht hat ja jemand so etwas schon umgesetzt und kann mir mit seinen Erfahrungen etwas unter die Arme greifen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 102139
Url: https://administrator.de/contentid/102139
Printed on: April 19, 2024 at 08:04 o'clock
3 Comments
Latest comment
Ja, das funktioniert problemlos ! Leider teilst du nicht alle Details mit so das eine genaue Antwort ohne wild zu raten etwas schwierig ist...
Du sagst die Programme nutzen NetBios als Protokoll ?!
Ist das nacktes Layer 2 NetBios, also eins ohne UDP Encapsulierung was nicht routebar ist oder ist das NetBios over IP ??
Im ersten musst du Bridging aktivieren zw. den VLANs.
Im 2ten Fall musst du an den Layer 3 VLAN IP Adressen deiner Core Switches die das Routing zw. den VLANs erledigen (Vermutlich die Entensys Kisten..??) einen UDP Helper konfigurieren (UDP Forwarder, bei Cisco und allen anderen heisst das "ip helper address x.x.x.x") damit diese NetBios over IP Pakte entsprechend sauber geforwardet werden in ihre Zielnetze und alles wieder so klappt wie es soll.
Das hätten dir doch eingentlich die SE Kollegen von Entensys sagen können, die sollten sowas wissen !! Ist Grundschule 1.Klasse IP Networking....
Du sagst die Programme nutzen NetBios als Protokoll ?!
Ist das nacktes Layer 2 NetBios, also eins ohne UDP Encapsulierung was nicht routebar ist oder ist das NetBios over IP ??
Im ersten musst du Bridging aktivieren zw. den VLANs.
Im 2ten Fall musst du an den Layer 3 VLAN IP Adressen deiner Core Switches die das Routing zw. den VLANs erledigen (Vermutlich die Entensys Kisten..??) einen UDP Helper konfigurieren (UDP Forwarder, bei Cisco und allen anderen heisst das "ip helper address x.x.x.x") damit diese NetBios over IP Pakte entsprechend sauber geforwardet werden in ihre Zielnetze und alles wieder so klappt wie es soll.
Das hätten dir doch eingentlich die SE Kollegen von Entensys sagen können, die sollten sowas wissen !! Ist Grundschule 1.Klasse IP Networking....
Danke für die Antwort,
also NetBios over IP ist bei uns aktiviert. Und gerade der Gifi Scanner der liest viele Infos der Rechner über das NetBios Protokoll aus. Das Routing übernehmen 2 Cisco Catalyst 6506 (einer Master der andere Standby) die IP Helper Adresse ist unser DHCP Server, da sonst die IPs nicht verteilt werden. Die Enterasys Kisten werden nach und nach abgebaut und durch Cisco ersetzt damit wir eine einheitliche Struktur haben (Konzernvorgabe).
Wenn ich dich richtig verstanden habe dann muss ich in dem V-LAN (EDV V-LAN) das auf die anderen alle voll zugreifen soll für jedes V.LAN eine IP helper Adresse hinterlegen. Verwende ich da die Router Adresse des jeweiligen V-LANs oder eine andere.
Danke schon mal
also NetBios over IP ist bei uns aktiviert. Und gerade der Gifi Scanner der liest viele Infos der Rechner über das NetBios Protokoll aus. Das Routing übernehmen 2 Cisco Catalyst 6506 (einer Master der andere Standby) die IP Helper Adresse ist unser DHCP Server, da sonst die IPs nicht verteilt werden. Die Enterasys Kisten werden nach und nach abgebaut und durch Cisco ersetzt damit wir eine einheitliche Struktur haben (Konzernvorgabe).
Wenn ich dich richtig verstanden habe dann muss ich in dem V-LAN (EDV V-LAN) das auf die anderen alle voll zugreifen soll für jedes V.LAN eine IP helper Adresse hinterlegen. Verwende ich da die Router Adresse des jeweiligen V-LANs oder eine andere.
Danke schon mal
Ja, du kannst mehrere Helper konfigurieren in den Layer 3 Interfaces der Catalysten.
Entweder trägst du einfach die eures Gifi Scanners dazu oder was ökonomicher ist sofern Gifi Scanner und DHCP Server in einem IP Segment stehen dann nimmst du die Broadcast oder netzadresse dieses Segments dann wirds an alle Endsysteme geschickt und du ersparst dir die separaten Einträge.
Beide Konfig Versionen sollten dein Problem sofort lösen !
Entweder trägst du einfach die eures Gifi Scanners dazu oder was ökonomicher ist sofern Gifi Scanner und DHCP Server in einem IP Segment stehen dann nimmst du die Broadcast oder netzadresse dieses Segments dann wirds an alle Endsysteme geschickt und du ersparst dir die separaten Einträge.
Beide Konfig Versionen sollten dein Problem sofort lösen !
