Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Verwaltung von MAC-to-VLAN Einträgen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: nhlfan

nhlfan (Level 1) - Jetzt verbinden

15.10.2008, aktualisiert 26.10.2008, 4859 Aufrufe, 4 Kommentare

Hallo Zusammen,

wir sind aktuell dabei, das interne Netzwerk neu zu strukturieren.

Als Switchhardware verwenden wir die Dell Powerconnect Serie.

Unser Ziel ist es, mit einem sternförmigen Netzdesign VLANs und MAC-Adressen zentral zu verwalten. Mittels GVRP haben wir es bereits geschafft, dass sich die VLAN-Informationen vom zentralen Layer3-Core an die Memberswitches verbreiten.
Da wir anhand der MAC-Adresse die Systeme dem jeweiligen VLAN zuweisen wollen, liegt die Nutzung der MAC-to-VLAN Funktion nahe.
Diese Mac-Adressen werden allerdings nicht via GVRP übermittelt. Bei Umstellungen oder neuer Hardware wollen wir allerdings nicht jedes Mal jeden Switch anfassen. Da viele unsere PCs und Laptops mobil sind, kommt dieser Vorgang recht häufig vor.
Dies möchten wir gerne an einer Stelle verwalten.
Die mac-based Autentifizierung mittels IAS würde auch bedeuten, dass für jeden Host ein eigenes Userkonto erstellt werden müsste.

Daher folgt nun meine Frage:

Wie kann ich MAC-to-VLAN Informationen in einem non-Cisco Umfeld zentral über das gesamte geswitchte Netz steuern?

Vielen Dank vorab.

Gruß,
Clemens
Mitglied: aqui
15.10.2008 um 19:11 Uhr
Das hat mit Cisco usw. rein gar nichts zu tun. Alle Switchhersteller die derzeit am Markt sind machen die dynamische VLAN Zuordnung mit einem Radius Server ala 802.1x.
Das ist auch bei denen Dell Teilen so, die in Wahrheit Accton Switches aus Taiwan sind, die fast alles Switches aus dem Low Budget Bereich produzieren die von den Marken dann einfach OEMt werden !

Du kommst also um einen Radius Server nicht drum rum !!!

Einige Hersteller supporten auch noch eine statische Zuordnung ueber einen ASCII File der per TFTP auf die Switches kopiert wird aber das macht die Sache noch schlimmer, denn dann muesstest du jeden Switch anfassen wenn sich an der MAC Adressstruktur etwas aendert !!!
Deshalb ist diese Variante technisch so gut wie tot. Jeder macht das wie gesagt ueber Radius. Da gibt es also keine Alternative fuer dich wenn du es ueber die MAC Adresse machen willst.

Eine andere Moeglichkeit ist dann nur 802.1x mit Username Password aus deinem AD sofern du sowas betreibst. Dann wird die VLAN Zuordnung aber nicht geraetebezogen (Mac) sondern benutzerbezogen gemacht, das ist der Unterschied !
Dafuer benoetigst du aber keine zusaetzlichen Usereintraege im AD.
Bitte warten ..
Mitglied: nhlfan
15.10.2008 um 20:47 Uhr
Hallo Aqui,

danke für die Erklärung. Ich habe non Cisco daher erwähnt, da Cisco proprietäre Protokolle wie VTP und VMPS die Funktionen herstellerspezifisch abbildet, was ein cisco homogenes Scenario einfacher verwalten lässt.

Deinen Ausführungen entnehme ich, dass die mac-to-vlan Funktion nicht in Frage kommt, da sie nur pro lokales Gerät greift.

Wir haben heute weiter getestet und festgestellt, dass der Einsatz von GVRP nicht so arbeitet wie erwartet.
Wir haben am zentralen Core die VLANs erstellt und diese habe sich dann an die angeschlossenen Layer2-Switches verbreitet.
Wir konnten diese Vlans an den Memberswitchen allerdings nicht für dynamische Access Ports verwenden.

Beispiel:

Für einen Host haben wir einen mac-to-vlan Eintrag am Swicht A erstellt, in der Erwartung, dass dieser Host dann entsprechend dem VLAN x zugewiesen wird, welches Switch A zuvor via GVRP erhalten hat. Dies war nicht der Fall. Dies war erst dann funktional, als wir das VLAN von "DynamicGVRP" zu "Permanent" umgestellt haben. Das stellt für mich den Sinn des GVRP in Frage.
Begehen wir hier einen Denkfehler?


Gruß
Bitte warten ..
Mitglied: aqui
16.10.2008 um 20:29 Uhr
Erstmal begehst du einen Denkfehler was VTP und VMPS betrifft, denn das hat mit dynamischer VLAN Zuordnung eines Clients nichts zu tun sondern mehr oder weniger zur Verbreitung von VLAN Informationen an sich aber ggf. meintest du das auch so ?!
Das sind also 2 Paar Schuhe zur dynamischen VLAN Zuordnung.

GVRP ist der globale Standard dazu. Normalerweise ist es bei guten Switche voellig egal ob du die VLAN Info per GVRP verteilst oder statisch ein dynamische Zuordnung von VLANs per MAC Adresse funktioniert problemlos in beiden Modi !
Jedenfalls ist das so bei guten Switches. Was auch immer du da verwendest aber das ist entweder ein Bug oder eine fehlende Funktion in den Images dieser Switches.
GVRP ist also mitnichten das Problem sondern die Art und Weise wie dein Hersteller das implementiert hat !!!
Bei billigen Midrange Switches oder OEM Produkten wird das meistens lieblos implementiert und fuehrt zu solchen Ergebnissen !
Du solltest dich also dort mal an den Hersteller wenden und genau nachfragen.
Fast alle Premium Hersteller supporten sowas mit GVRP problemlos, denn die dynamische VLAN Zuordnung entweder per 802.1x oder MAC Adresse ist heutzutage ein weitverbreitetes und oft eingesetztes Feature um die Zugangssicherheit von Netzen zu erhoehen !!
Bitte warten ..
Mitglied: aqui
26.10.2008 um 14:36 Uhr
Wars das jetzt ??
Dann bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Cisco SG 300 - MAC to VLAN?
Frage von stv.myrSwitche und Hubs9 Kommentare

Hallo liebe Community, seit einigen Wochen nutzen wir in unseren Netzwerk einen Cisco SG 300-52 Switch. Um Private Computer ...

Router & Routing
VLAN einzelne MAC hinzufügen
Frage von PharITRouter & Routing3 Kommentare

Hallo allerseits, nur eine kurze Frage. Mein VMWare Server zu Hause hat nur einen LAN Port (ist kein echter ...

LAN, WAN, Wireless
Tagged VLAN nach MAC Adresse
gelöst Frage von pelzfruchtLAN, WAN, Wireless5 Kommentare

Hallo, Ich habe mehere Fragen zu einem VLAN (tagged) nach MAC Adressen. Vielleicht erstmal mein (grundlegendes) Netzwerk: So, das ...

Router & Routing
Dynamisches VLAN - MAC Adressen basiert
Frage von salatomRouter & Routing3 Kommentare

Hallo, bin gerade dabei eine VLAN Umgebung mit Mac basierter autentifizierung + Radius Serverzu planen. Somit heisst das ja ...

Neue Wissensbeiträge
Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 1 StundeLinux6 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Heiß diskutierte Inhalte
Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing13 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Microsoft Office
Outlook Cache Mode Frage
Frage von GwaihirMicrosoft Office11 Kommentare

Hallo zusammen, bin gerade neu in der Firma und lerne hier einige neue Dinge kennen. Zum Beispiel, dass die ...

Windows Server
Windows Store Apps
gelöst Frage von PeterleBWindows Server11 Kommentare

Gibt es einen Weg, auf Windows Server 2016 Windows Store Apps wie zum Beispiel die HP Smart App zu ...