Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Verwaltung von MAC-to-VLAN Einträgen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: nhlfan

nhlfan (Level 1) - Jetzt verbinden

15.10.2008, aktualisiert 26.10.2008, 4841 Aufrufe, 4 Kommentare

Hallo Zusammen,

wir sind aktuell dabei, das interne Netzwerk neu zu strukturieren.

Als Switchhardware verwenden wir die Dell Powerconnect Serie.

Unser Ziel ist es, mit einem sternförmigen Netzdesign VLANs und MAC-Adressen zentral zu verwalten. Mittels GVRP haben wir es bereits geschafft, dass sich die VLAN-Informationen vom zentralen Layer3-Core an die Memberswitches verbreiten.
Da wir anhand der MAC-Adresse die Systeme dem jeweiligen VLAN zuweisen wollen, liegt die Nutzung der MAC-to-VLAN Funktion nahe.
Diese Mac-Adressen werden allerdings nicht via GVRP übermittelt. Bei Umstellungen oder neuer Hardware wollen wir allerdings nicht jedes Mal jeden Switch anfassen. Da viele unsere PCs und Laptops mobil sind, kommt dieser Vorgang recht häufig vor.
Dies möchten wir gerne an einer Stelle verwalten.
Die mac-based Autentifizierung mittels IAS würde auch bedeuten, dass für jeden Host ein eigenes Userkonto erstellt werden müsste.

Daher folgt nun meine Frage:

Wie kann ich MAC-to-VLAN Informationen in einem non-Cisco Umfeld zentral über das gesamte geswitchte Netz steuern?

Vielen Dank vorab.

Gruß,
Clemens
Mitglied: aqui
15.10.2008 um 19:11 Uhr
Das hat mit Cisco usw. rein gar nichts zu tun. Alle Switchhersteller die derzeit am Markt sind machen die dynamische VLAN Zuordnung mit einem Radius Server ala 802.1x.
Das ist auch bei denen Dell Teilen so, die in Wahrheit Accton Switches aus Taiwan sind, die fast alles Switches aus dem Low Budget Bereich produzieren die von den Marken dann einfach OEMt werden !

Du kommst also um einen Radius Server nicht drum rum !!!

Einige Hersteller supporten auch noch eine statische Zuordnung ueber einen ASCII File der per TFTP auf die Switches kopiert wird aber das macht die Sache noch schlimmer, denn dann muesstest du jeden Switch anfassen wenn sich an der MAC Adressstruktur etwas aendert !!!
Deshalb ist diese Variante technisch so gut wie tot. Jeder macht das wie gesagt ueber Radius. Da gibt es also keine Alternative fuer dich wenn du es ueber die MAC Adresse machen willst.

Eine andere Moeglichkeit ist dann nur 802.1x mit Username Password aus deinem AD sofern du sowas betreibst. Dann wird die VLAN Zuordnung aber nicht geraetebezogen (Mac) sondern benutzerbezogen gemacht, das ist der Unterschied !
Dafuer benoetigst du aber keine zusaetzlichen Usereintraege im AD.
Bitte warten ..
Mitglied: nhlfan
15.10.2008 um 20:47 Uhr
Hallo Aqui,

danke für die Erklärung. Ich habe non Cisco daher erwähnt, da Cisco proprietäre Protokolle wie VTP und VMPS die Funktionen herstellerspezifisch abbildet, was ein cisco homogenes Scenario einfacher verwalten lässt.

Deinen Ausführungen entnehme ich, dass die mac-to-vlan Funktion nicht in Frage kommt, da sie nur pro lokales Gerät greift.

Wir haben heute weiter getestet und festgestellt, dass der Einsatz von GVRP nicht so arbeitet wie erwartet.
Wir haben am zentralen Core die VLANs erstellt und diese habe sich dann an die angeschlossenen Layer2-Switches verbreitet.
Wir konnten diese Vlans an den Memberswitchen allerdings nicht für dynamische Access Ports verwenden.

Beispiel:

Für einen Host haben wir einen mac-to-vlan Eintrag am Swicht A erstellt, in der Erwartung, dass dieser Host dann entsprechend dem VLAN x zugewiesen wird, welches Switch A zuvor via GVRP erhalten hat. Dies war nicht der Fall. Dies war erst dann funktional, als wir das VLAN von "DynamicGVRP" zu "Permanent" umgestellt haben. Das stellt für mich den Sinn des GVRP in Frage.
Begehen wir hier einen Denkfehler?


Gruß
Bitte warten ..
Mitglied: aqui
16.10.2008 um 20:29 Uhr
Erstmal begehst du einen Denkfehler was VTP und VMPS betrifft, denn das hat mit dynamischer VLAN Zuordnung eines Clients nichts zu tun sondern mehr oder weniger zur Verbreitung von VLAN Informationen an sich aber ggf. meintest du das auch so ?!
Das sind also 2 Paar Schuhe zur dynamischen VLAN Zuordnung.

GVRP ist der globale Standard dazu. Normalerweise ist es bei guten Switche voellig egal ob du die VLAN Info per GVRP verteilst oder statisch ein dynamische Zuordnung von VLANs per MAC Adresse funktioniert problemlos in beiden Modi !
Jedenfalls ist das so bei guten Switches. Was auch immer du da verwendest aber das ist entweder ein Bug oder eine fehlende Funktion in den Images dieser Switches.
GVRP ist also mitnichten das Problem sondern die Art und Weise wie dein Hersteller das implementiert hat !!!
Bei billigen Midrange Switches oder OEM Produkten wird das meistens lieblos implementiert und fuehrt zu solchen Ergebnissen !
Du solltest dich also dort mal an den Hersteller wenden und genau nachfragen.
Fast alle Premium Hersteller supporten sowas mit GVRP problemlos, denn die dynamische VLAN Zuordnung entweder per 802.1x oder MAC Adresse ist heutzutage ein weitverbreitetes und oft eingesetztes Feature um die Zugangssicherheit von Netzen zu erhoehen !!
Bitte warten ..
Mitglied: aqui
26.10.2008 um 14:36 Uhr
Wars das jetzt ??
Dann bitte
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
Frage zum Erzeugen eines portbasiertem VLAN (7)

Frage von presto-18 zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
DHCP MAC Filter unter W2008R2 (2)

Frage von sabines zum Thema Windows Netzwerk ...

Mac OS X
Mac SMB Zugriffsproblem

Frage von Phill93 zum Thema Mac OS X ...

LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (4)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...